WP2006/5.1 sz. feladat (CERT D1/D2)

Átírás

1 RÉSZLETES LEÍRÁS A CSIRT- CSOPORTOK LÉTREHOZÁSÁRÓL WP2006/5.1 sz. feladat (CERT D1/D2)

2 Tartalomjegyzék 1. Vezetői összefoglaló Jogi nyilatkozat Köszönetnyilvánítás Bevezetés Célközönség A dokumentum használata A dokumentumban használt egyezményes megoldások A CSIRT megtervezésének és létrehozásának általános stratégiája Mi a CSIRT? A CSIRT-csoportok által nyújtható lehetséges szolgáltatások A vevőkör és a küldetésnyilatkozat elemzése Az üzleti terv kidolgozása A pénzügyi modell meghatározása A szervezeti felépítés meghatározása A megfelelő munkatársak felvétele Az iroda használata és felszereltsége Az információbiztonsági szabályzat kidolgozása Együttműködési lehetőség keresése más CSIRT-csoportokkal és az esetleges nemzeti kezdeményezésekkel Az üzleti terv továbbfejlesztése Az üzleti tervek és a vezetőség reakcióját kiváltó elemek leírása Példák üzemeltetési és műszaki eljárásokra (munkafolyamatok) A vevőkör telepített alapeszközeinek felmérése Riasztások, figyelmeztetések és bejelentések létrehozása Incidensek kezelése Példa a válaszidőket tartalmazó ütemtervre A rendelkezésre álló CSIRT-eszközök CSIRT-képzés TRANSITS CERT/CC Feladat: tanács elkészítése Következtetések A projektterv leírása MELLÉKLET A.1 További szakirodalom A.2 CSIRT-szolgáltatások... 1 A.3 Példák A.4 CSIRT tanfolyamok mintaanyagai HU HU

3 1. Vezetői összefoglaló A jelen dokumentum egy számítógép-biztonsági és incidenskezelő csoport (Computer Security and Incident Response Team, CSIRT) létrehozásának folyamatát mutatja be az összes ehhez kapcsolódó szempontból, így például üzletvezetési, projektvezetési, valamint műszaki szemszögből. A dokumentum az Európai Hálózat- és Információbiztonsági Ügynökség (ENISA) évi munkaprogramjának 5.1 fejezetében leírt teljesítendő feladatok közül kettőt valósít meg: Ez a dokumentum: Írásos jelentés egy CERT (Computer Emergency Response Team) vagy hasonló szolgálat létrehozásának lépéseiről, példákkal illusztrálva. (CERT-D1) A 12. fejezet és a külső fájlok: Tételes ütemtervkivonat, amely lehetővé teszi az ütemterv egyszerű gyakorlati alkalmazását. (CERT-D2) 2. Jogi nyilatkozat Felhívjuk a figyelmet arra, hogy ez a kiadvány ettől eltérő utalás hiányában a szerzők és a szerkesztők nézeteit és értelmezését tükrözi. A kiadvány nem tekintendő az ENISA, illetve az ENISA testületei intézkedésének, kivéve, ha a 460/200/EK ENISA-rendeletnek megfelelően ilyen dokumentumként fogadják el. A kiadvány nem feltétlenül az aktuális helyzetet tükrözi, és előfordulhat, hogy időről-időre frissítésre kerül. A harmadik féltől származó információknál megfelelően jelöltük a forrást. Az ENISA nem felel a külső forrásból, többek között a jelen kiadványban hivatkozott webhelyekről származó információk tartalmáért. A kiadvány kizárólag oktatási és információs célokra készült. Sem az ENISA, sem a nevében eljáró személyek nem felelnek a kiadványban szereplő információk bárminemű felhasználásáért. Minden jog fenntartva. A kiadvány egyetlen része sem sokszorosítható, nem tárolható adat-visszakereső rendszeren, nem továbbítható semmilyen módon és formában, elektronikus vagy mechanikus úton, nem fénymásolható, nem rögzíthető, és nem tárolható semmilyen más formában az ENISA előzetes írásos engedélye nélkül, illetve ilyen tárolásra vagy továbbításra csak a törvény által kifejezetten engedélyezett módon, vagy a megfelelő jogi szervezetek által elfogadott feltételek szerint van lehetőség. A forrást minden esetben fel kell tüntetni. A sokszorosításra vonatkozó kéréseket a kiadványban megadott kapcsolattartási címre lehet elküldeni. Európai Hálózat- és Információbiztonsági Ügynökség (ENISA), Köszönetnyilvánítás Az ENISA köszönetet kíván nyilvánítani a dokumentum létrejöttéhez munkájával hozzájáruló minden intézménynek és személynek. Külön köszönet illeti a következő közreműködőket: Henk Bronkot, aki tanácsadókét elkészítette a dokumentum első verzióját. HU Oldalszám 2 HU

4 A CERT/CC és különösen a CSIRT fejlesztői csapatát, amely rendkívül fontos anyagokkal és a mellékletben szereplő tanfolyami mintaanyaggal járult hozzá a dokumentumhoz. A GovCERT.NL-t, a CERT-in-a-box biztosításáért. A TRANSIT-csoportot, amely összeállította a mellékletben található tanfolyami mintaanyagot. A műszaki szervezeti egység biztonsági szabályzatokkal foglalkozó részlegének munkatársait, akik elkészítették a 6.6 fejezetet. Azt a számtalan közreműködőt, akik felülvizsgálták e dokumentumot. 4. Bevezetés A hírközlő hálózatok és az információs rendszerek a gazdasági és társadalmi fejlődés alapvető tényezőivé váltak. A számítástechnika és a hálózatok a villamos energiához vagy a vízellátáshoz hasonlóan mindenütt jelenlévő szolgáltatásokká válnak. A hírközlő hálózatok és az információs rendszerek biztonsága, különösen azok elérhetősége ennek megfelelően egyre nagyobb jelentőségű a társadalom számára, nem utolsósorban az alapvető információs rendszerekben a rendszerek összetettsége, balesetek, hibák és az EU polgárainak jóléte szempontjából kritikus szolgáltatásokat közvetítő fizikai infrastruktúrák elleni támadások következtében bekövetkező problémák lehetősége miatt március 10-én létrehozták az Európai Hálózat- és Információbiztonsági Ügynökséget (ENISA) 1. Az Ügynökség azt a feladatot kapta, hogy biztosítsa a Közösségen belül a magas szintű és hatékony hálózat- és információbiztonságot, valamint az állampolgárok, fogyasztók, vállalkozások és állami intézmények érdekében hálózat- és információbiztonsági kultúrát alakítson ki az Európai Unióban, és ezzel hozzájáruljon a belső piac zökkenőmentes működéséhez. Évek óta több európai biztonsági közösség, például CERT/CSIRT-csoportok, Abuse Team-ek és WARP-ok (Warning, Advice and Reporting Point) működnek együtt az Internet biztonságosabbá tétele érdekében. Az ENISA célja, hogy támogassa e közösségeket az erőfeszítéseikben azzal, hogy információt nyújt számukra a megfelelő szintű szolgáltatási minőséget biztosító intézkedésekről. Ezenkívül az ENISA bővíteni kívánja azt a képességét, hogy tanácsadással tudja segíteni az EU tagállamait és az adott EU-szerveket konkrét informatikai felhasználói csoportok megfelelő biztonsági szolgáltatásokkal történő ellátásának kérdésében. Ezért a 2005-ben létrehozott, CERTegyüttműködéssel és -támogatással foglalkozó ad hoc munkacsoport eredményeire alapozva ez az új munkacsoport meghatározott felhasználók (felhasználói kategóriák vagy csoportok) számára nyújtott megfelelő biztonsági szolgáltatások ( CERTszolgáltatásokra ) kérdéseivel fog foglalkozni. 1 Az Európai Parlament és a Tanács március 10-i 460/2004/EK rendelete az Európai Hálózat- és Információbiztonsági Ügynökség létrehozásáról. Az Európai Közösség ügynöksége olyan testület, amelyet az Európai Unió egy közösségi terület ( első pillér ) valamilyen rendkívül sajátos műszaki, tudományos vagy irányítási feladat elvégzésére hoz létre. HU Oldalszám 3 HU

5 Az ENISA a saját CSIRT létrehozásához segítséget nyújtó, Részletes leírás a CSIRTcsoportok kiegészítő ellenőrzőlista alapján történő létrehozásáról című ENISA-jelentés közzétételével támogatja az új CSIRT-csoportok felállítását. HU Oldalszám 4 HU

6 4.1 Célközönség E jelentés elsődleges célközönségét azok az állami és egyéb intézmények alkotják, amelyek úgy döntenek, hogy saját vagy belső megrendelőik informatikai infrastruktúrájának védelmére létrehoznak egy CSIRT-csoportot. 4.2 A dokumentum használata Ez a dokumentum a CSIRT lényegéről, az általa nyújtható szolgáltatásokról és az elindításához szükséges lépésekről ad tájékoztatást. Ezzel az olvasó remélhetőleg jó és gyakorlatias áttekintést kap a CSIRT létrehozásának módjáról, annak szerkezetéről és tartalmáról. 4. fejezet: Bevezetés E jelentés bevezetője. 5. fejezet: A CSIRT megtervezésének és létrehozásának általános stratégiája Az első rész a CSIRT lényegéről nyújt leírást. Arról is tájékoztatás ad, hogy a CSIRTcsoportok milyen környezetben tudnak működni, és milyen szolgáltatásokat tudnak nyújtani. 6. fejezet: Az üzleti terv kidolgozása Ez a fejezet a létrehozás folyamatának üzletvezetési megközelítését írja le. 7. fejezet: Az üzleti terv továbbfejlesztése Ez a fejezet az üzleti eset és a finanszírozás kérdéseivel foglalkozik. 8. fejezet: Példák az üzemeltetési és a műszaki eljárásokra Ez a fejezet az információ megszerzésének és biztonsági értesítővé történő átalakításának folyamatát írja le. A fejezet az incidenskezelési munkafolyamatról is leírást ad. 9. fejezet: CSIRT-képzés Ez a fejezet az elérhető CSIRT-képzésről ad összefoglalót. Szemléltetésképpen egy tanfolyami mintaanyag is szerepel a mellékletben. 10. fejezet: Feladat: tanácsadás összeállítása E fejezetben egy feladat található arról, hogyan kell elvégezni a CSIRT egyik alap- (vagy alapvető) szolgáltatását, a biztonsági értesítő (vagy tanácsadás) összeállítását. 12. fejezet: A projektterv leírása Ez a fejezet a ehhez az útmutatóhoz adott kiegészítő projekttervre (ellenőrzőlistára) vonatkozik. A tervnek az a célja, hogy egy egyszerűen használható eszközt biztosítson az útmutatóban foglaltak megvalósításához. HU Oldalszám 5 HU

7 4.3 A dokumentumban használt egyezményes megoldások Az olvasó tájékoztatása céljából mindegyik fejezet a CSIRT létrehozásának folyamatában az adott pontig megtett lépések összefoglalásával kezdődik. Ezek az összefoglalók keretes mezőkben vannak kiemelve: Megtettük az első lépést. Mindegyik fejezet a megtárgyalt lépéseket bemutató gyakorlati példával zárul. Az ebben a dokumentumban példaként felhasznált képzeletbeli CSIRT egy közepes méretű vállalat vagy intézmény kis létszámú, független CSIRT-csoportja. A függelékben található egy összefoglalás. Képzeletbeli CSIRT HU Oldalszám 6 HU

8 5. A CSIRT megtervezésének és létrehozásának általános stratégiája A CSIRT létrehozásának sikeres elkezdéséhez egyértelmű elképzelésekkel kell rendelkezni arról, hogy a csoport milyen szolgáltatásokat tud majd nyújtani az ügyfeleinek, akikre a CSIRT világában elsősorban vevőként hivatkozunk. Ezért a megfelelő szolgáltatások megfelelő időben és minőségben történő teljesítéséhez meg kell érteni, hogy a vevőknek milyen igényei vannak. 5.1 Mi a CSIRT? A CSIRT a Computer Security Incident Response Team (számítógép-biztonsági incidenskezelő csoport) kifejezésből képzett mozaikszó. A CSIRT kifejezést elsősorban Európában használják a CERT levédett kifejezés helyett, amelyet a CERT Coordination Center (CERT/CC) jegyeztetett be az Amerikai Egyesült Államokban. Számos rövidítés létezik az ugyanazon típusú csoportok jelölésére: CERT vagy CERT/CC (Computer Emergency Response Team) CSIRT (Computer Security Incident Response Team) IRT (Incident Response Team) CIRT (Computer Incident Response Team) SERT (Security Emergency Response Team) A globális informatikai infrastruktúrában a nyolcvanas évek vége felé következett be az első jelentős féreg típusú fertőzés. A Morris nevű féreg 2 gyors terjedése révén igen hatékonyan fertőzött meg számos, a világ különböző pontjain működő informatikai rendszert. Az incidens ébresztőleg hatott: az emberek hirtelen ráébredtek arra, hogy az ilyen típusú események kezeléséhez milyen nagy szükség van a rendszergazdák és az informatikai vezetők közötti együttműködésre és koordinációra. Mivel az idő kritikus tényező ezekben az esetekben, az információbiztonsági incidensek kezeléséhez egy jobban szervezett és felépített megközelítést kellett létrehozni. Így néhány nappal a Morris incidenst követően a Defence Advanced Research Projects Agency (DARPA) létrehozta az első CSIRT-csoportot, a CERT Koordinációs Csoportot (CERT Coordination Center CERT/CC 3 ) a Pennsylvania állambeli Pittsburghben található Carnegie Mellon University-n. Ezt a modellt hamarosan Európában is átvették, és 1992-ben a SURFnet, a holland egyetemi szolgáltató SURFnet-CERT 4 néven létrehozta az első európai CSIRTcsoportot. Ezt további csoportok követték, és az ENISA Európai CERT-tevékenységek nyilvántartása 5 c. dokumentumában jelenleg több mint 100 ismert európai csoport szerepel. 2 A Morris féregről további információ található a weblapon. 3 CERT-CC, 4 SURFnet-CERT: 5 ENISA-nyilvántartás: HU Oldalszám 7 HU

9 Ahogy az évek teltek, a CERT-ek bővítették kapacitásaikat, és a kezdetben pusztán készenléti beavatkozó erők szerepét ellátó csoportok teljes körű biztonsági szolgáltatóvá léptek elő, amelyek már olyan megelőzési célú szolgáltatásokat is nyújtottak, mint például riasztások, biztonsági tanácsadás, képzés és biztonságkezelési szolgáltatások. Kis idő eltelte után úgy gondolták, hogy a CERT kifejezés már nem elégséges a tevékenységük leírására. Ezért a kilencvenes évek végén bevezettek egy új kifejezést, a CSIRT-et. Jelenleg szinonimaként használják a két kifejezést (a CERT-et és a CSIRT-- et), amelyek közül azonban a CSIRT pontosabb meghatározást ad a tevékenység jellegéről A Vevőkör kifejezés Mostantól a (CSIRT-közösségekben) széles körben elterjedt vevőkör kifejezést fogjuk használni, amikor egy CSIRT ügyfélkörére hivatkozunk. Az egyes ügyfeleket vevőnek, az általuk alkotott csoportokat vevőknek fogjuk nevezni A CSIRT meghatározása A CSIRT olyan információbiztonsági szakemberekből álló csoport, amelynek az az elsődleges feladata, hogy számítógépes biztonsági incidensek esetén beavatkozzon. Biztosítja az ezek kezeléséhez szükséges szolgáltatásokat, és támogatást nyújt vevőinek a rendszerfeltörések utáni helyreállításhoz. A kockázatok mérséklése és a kívánt beavatkozások számának minimalizálása érdekében a legtöbb CSIRT megelőző és oktatási szolgáltatásokat is nyújt vevőköre számára. Tanácsokat adnak az alkalmazott szoftver és hardver sebezhetőségével kapcsolatban, és felhívják a felhasználók figyelmét az felfedezett biztonsági réseket kihasználó kódokra és vírusokra. Így a vevők gyorsan elvégezhetik rendszereik javítását és frissítését. A lehetséges szolgáltatások teljes listáját lásd az 5.2 Lehetséges szolgáltatások című fejezetben A CSIRT fenntartásának előnyei Egy külön erre a célra létrehozott információbiztonsági csoport segít a szervezetnek a jelentős incidensek hatásainak mérséklésében és megelőzésében, és segít megvédeni értékes eszközeit. További lehetséges előnyök: Az információbiztonsági kérdések központi koordinációjának megvalósítása a szervezeten belül (kapcsolattartási pont). IT-incidensek központi és erre szakosodott kezelése, valamint az azokkal kapcsolatos beavatkozás. Kéznél lévő szaktudás a biztonsági incidensek után a felhasználók által elvégzendő gyors helyreállítás támogatásához és segítéséhez. Jogi kérdések kezelése, és a bizonyítékok megőrzése egy esetleges per esetére. A biztonság területén végzett fejlesztések nyomon követése. Az információbiztonsággal kapcsolatos együttműködés elősegítése a vevőkörön belül (a tudatosság növelése). HU Oldalszám 8 HU

10 Képzeletbeli CSIRT (0. lépés) A CSIRT lényegének megértése: A példaként szolgáló CSIRT-csoportnak egy 200 embert foglalkoztató közepes méretű intézményt kell kiszolgálnia. Az intézmény saját informatikai részleggel és az adott országon belül két további fiókirodával rendelkezik. Az információtechnológia kulcsszerepet tölt be a vállalatnál, mivel ezt használják fel a belső kommunikáció, az adathálózat, valamint a hét hét napján napi 24 órában (24x7) működő elektronikus üzlet (e-üzlet) céljára. Az intézménynek saját hálózata, valamint két különböző internetszolgáltató által biztosított redundáns internetkapcsolata van. HU Oldalszám 9 HU

11 5.1.4 A különböző típusú CSIRT környezetek leírása Megtettük az első lépést: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. >> A következő lépésben az alábbi kérdést kell megválaszolni: Mely szektor fog részesülni a CSIRT szolgáltatásaiból? Mint ahogy minden más üzleti tevékenység esetében, itt is rendkívül fontos, hogy a CSIRT-csoport szervezésének lehető legkorábbi szakaszában egyértelműen meghatározzuk a csoport vevőinek körét, és azt, hogy a CSIRT szolgáltatásait milyen típusú környezetre fogják fejleszteni. Jelenleg a következő, betűrendben felsorolt szektorokat különböztetjük meg: Tudományos szektor CSIRT Üzleti CSIRT Kritikus információk védelme / kritikus információk és infrastruktúrák védelme (CIP/CIIP) szektor CSIRT Kormányzati szektor CSIRT Belső CSIRT Katonai szektor CSIRT Nemzeti CSIRT Kis- és középvállalkozások (KKV) szektor CSIRT Szoftverkiadói CSIRT Tudományos szektor CSIRT Fő tevékenységi terület A tudományos szektor CSIRT-csoportok tudományos és oktatási intézményeknek, például egyetemeknek, kutatóintézeteknek, valamint ezek intézményeinek internetes környezeteihez nyújt CSIRT szolgáltatásokat. Vevők Az ilyen típusú CSIRT-csoportok jellegzetes vevői az egyetemek munkatársai és hallgatói. Üzleti CSIRT Fő tevékenységi terület Az üzleti CSIRT-csoportok üzleti alapon nyújtanak CSIRT-szolgáltatásokat a vevőiknek. Egy internetszolgáltató esetében a CSIRT a (betárcsázós, ill. ADSL előfizetést használó) végfelhasználó ügyfelek részére főleg jogosultsággal való visszaéléssel kapcsolatos szolgáltatásokat nyújt, míg CSIRT-szolgáltatásokat a céges ügyfelek számára biztosít. Vevők Az üzleti CSIRT-csoportok általában egy fizetős vevőkörnek nyújtanak szolgáltatásokat. HU Oldalszám 10 HU

12 Kritikus információk védelme / kritikus információk és infrastruktúrák védelme (CIP/CIIP) szektor CSIRT Fő tevékenységi terület Az ebbe a szektorba tartozó CSIRT-csoportok elsősorban a kritikus információk védelmére (CIP) és / vagy a kritikus információk és infrastruktúrák védelmére (CIIP) koncentrál. Ez a szakosodott CSIRT a legtöbb esetben az állami CIIP részleggel szoros együttműködésben végzi a munkáját. Tevékenysége az ország összes kulcsfontosságú informatikai szektorára kiterjed, és az adott ország polgárait védi. Vevők Állam, kritikus fontosságú informatikai vállalatok, állampolgárok. Kormányzati szektor CSIRT Fő tevékenységi terület A kormányzati CSIRT-csoportok állami szerveknek nyújtanak szolgáltatásokat, ill. néhány országban az állampolgároknak is. Vevők Az állam és az államhoz kapcsolódó szervek, egyes országokban az állampolgároknak is nyújtanak riasztási szolgáltatást (pl. Belgiumban, Magyarországon, Hollandiában, az Egyesült Királyságban és Németországban). Belső CSIRT Fő tevékenységi terület A belső CSIRT csak a saját anyaszervezetének nyújt szolgáltatásokat. Ez inkább a működésre vonatkozik, és nem egy szektorra. Sok olyan telekommunikációs szervezet és bank van, amely saját belső CSIRT-csoportot tart fenn. Ezek feladatköre általában nem terjed ki a nyilvánosságnak szánt webhelyek karbantartására. Vevők Az anyaszervezet belső munkatársai és informatikai részlege. Katonai szektor CSIRT Fő tevékenységi terület Az ebben a szektorban működő CSIRT-csoportok katonai szervezeteknek nyújtanak szolgáltatásokat, amelyek a védelmi feladatokhoz szükséges informatikai infrastruktúrára terjednek ki. Vevők Katonai szervezetek és azokhoz szorosan kapcsolódó intézmények, például a védelmi minisztérium. Nemzeti CSIRT Fő tevékenységi terület Nemzeti célokra összpontosító CSIRT, amelyet az adott ország biztonsággal kapcsolatos kapcsolattartási pontjának tekintenek. Bizonyos esetekben a kormányzati CSIRT egyben nemzeti CSIRT-csoportként is működik (mint például az UNIRAS az Egyesült Királyságban). HU Oldalszám 11 HU

13 Vevők Az ilyen típusú CSIRT-csoportnak általában nincsenek közvetlen vevői, mivel a nemzeti CSIRT mindössze közvetítő szerepet játszik az egész ország tekintetében. Kis- és középvállalkozások (KKV) szektor CSIRT Fő tevékenységi terület Önszerveződő CSIRT, amely saját üzletágának vagy hasonló felhasználói csoportnak nyújt szolgáltatásokat. Vevők E CSIRT-csoportok vevői KKV-k és azok munkatársai, illetve különleges érdekcsoportok, például az országban működő városok és önkormányzatok szövetsége lehetnek. Szoftverkiadói CSIRT Fő tevékenységi terület A szoftverkiadói CSIRT-csoportok egy adott szoftverkiadóra jellemző termékek támogatására összpontosítanak. Általában az a céljuk, hogy megoldásokat dolgozzanak ki és biztosítsanak a sebezhető pontok kiküszöbölésére és a hiányosságok esetleges negatív hatásainak enyhítésére. Vevők A termékek tulajdonosai. Amint a nemzeti CSIRT-csoportokról szóló bekezdésben már említettük, előfordulhat, hogy egy csoport több szektort is kiszolgál. Ez hatással van például a vevőkör és az általa támasztott igények elemzésére. Képzeletbeli CSIRT (1. lépés) Kezdő fázis A kezdő fázisban belső CSIRT-csoportként tervezzük meg az új CSIRT-csoportot, amely az anyavállalatnak, a helyi informatikai részlegnek és a munkatársaknak nyújt szolgáltatásokat. A csoport egyben támogatja és koordinálja az információbiztonsághoz kapcsolódó incidensek fiókirodák közötti kezelését. 5.2 A CSIRT-csoportok által nyújtható lehetséges szolgáltatások Megtettük az első két lépést: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? >> A következő lépésben ezt a kérdést kell megválaszolni: Milyen szolgáltatásokat kell a vevők részére nyújtani? HU Oldalszám 12 HU

14 A CSIRT-csoportok sokféle szolgáltatást tudnak nyújtani, de ez idáig egyetlen CSIRT sem nyújtja az összeset ezek közül. Ezért a megfelelő szolgáltatáscsoport összeválogatása alapvető fontosságú döntés. Az alábbiakban egy rövid áttekintés olvasható a CERT/CC által a CSIRT-csoportok részére kiadott kézikönyvben 6 (Handbook for CSIRTs) meghatározott összes ismert CSIRT-szolgáltatásról. 6 CERT/CC CSIRT-kézikönyv: HU Oldalszám 13 HU

15 Válaszintézkedésként nyújtott szolgáltatások Megelőző szolgáltatások Torzulások kezelése Riasztások és figyelmeztetések Incidenskezelés Incidenselemzés Incidenssel kapcsolatban megtett válaszintézkedések támogatása Incidenssel kapcsolatban megtett válaszintézkedések koordinálása Incidenssel kapcsolatban megtett helyszíni válaszintézkedések Sebezhetőség kezelése Sebezhetőség elemzése Sebezhetőséggel kapcsolatban megtett válaszintézkedések Sebezhetőséggel kapcsolatban megtett válaszintézkedések koordinálása Bejelentések Technológia figyelés Biztonsági ellenőrzések és felmérések A biztonsági konfiguráció beállítása és karbantartása Biztonsági eszközök fejlesztése Behatolásérzékelési szolgáltatások Biztonsággal kapcsolatos információk terjesztése 1. ábra A CSIRT-szolgáltatások listája a CERT/CC-től 7 Torzulások elemzése A torzulásokkal kapcsolatos intézkedések A torzulásokkal kapcsolatos intézkedések koordinálása A biztonság minőségének kezelése Kockázatelemzés Üzletmenet-folytonosság és katasztrófa utáni visszaállítás Biztonsági tanácsadás A tudatosság növelése Oktatás/képzés Termék kiértékelése vagy tanúsítása Az alapvető szolgáltatások (félkövér szedéssel jelölve): megkülönböztetjük a válaszintézkedésként nyújtott és a megelőző szolgáltatásokat. A megelőző szolgáltatásoknak az a célja, hogy a tudatosság növelése és képzés révén megelőzzék az incidenseket, míg a válaszintézkedésként nyújtott szolgáltatások az incidensek kezelésére és az általuk okozott kár enyhítésére irányulnak. A torzulások kezelése azoknak a rendszeren talált fájloknak és objektumoknak (pl. vírusok, férgek, szkriptek, trójai vírusok stb. által hagyott nyomoknak) az elemzését jelenti, amelyek szerepet játszhattak kárt okozó tevékenységekben. Kiterjed az ennek során kapott információk kezelésére, valamint a szoftverkiadók és más érintett felek részére történő továbbítására abból a célból, hogy ezzel megakadályozzák a károkozó szoftver további terjedését és csökkentsék a kockázatokat. A biztonságkezelési és minőségirányítási szolgáltatások hosszabb távú célok elérését kitűző szolgáltatások, amelyek tanácsadást és oktatási intézkedéseket is tartalmaznak. 7 A CSIRT-szolgáltatások listája a CERT/CC-től: HU Oldalszám 14 HU

16 A CSIRT-szolgáltatások részletes magyarázatát lásd a függelékben. A vevők számára megfelelő szolgáltatások kiválasztása fontos lépés, amelyről a 6.1 A pénzügyi modell meghatározása c. fejezetben még kitérünk. A legtöbb induló CSIRT-csoport Riasztások és figyelmeztetések terjesztésével, Bejelentések tételével és a vevőknek nyújtott Incidenskezelési szolgáltatásokkal kezdi a tevékenységét. Ezek az alapvető szolgáltatások általában jó arculati és figyelemfelkeltési értéket generálnak a vevőkörön belül, és elsősorban valódi hozzáadott értékként tekintenek rájuk. Jó gyakorlat, ha a csoport kezdetben egy kisméretű tesztelési vevőkörnek nyújt alapvető szolgáltatásokat egy adott tesztidőszakon keresztül, majd annak lezárultával visszajelzést kér a vevőktől. Az érdekelt tesztfelhasználók általában konstruktív visszajelzést adnak, és ezzel segítenek a testre szabott szolgáltatások kidolgozásában. Képzeletbeli CSIRT (2. lépés) A megfelelő szolgáltatások kiválasztása A kezdő fázisban úgy döntenek, hogy az új CSIRT elsősorban néhány, az alkalmazottakat érintő alapvető szolgáltatás nyújtására fogja helyezni a hangsúlyt. Úgy határoznak, hogy a tesztidőszakot követően fontolóra lehet venni a szolgáltatási portfolió kibővítését, és az esetlegesen kiegészíthető néhány Biztonságkezelési szolgáltatással. Ezt a döntést a tesztelésbe bevont vevőktől kapott visszajelzés alapján, a minőségbiztosítási részleggel szorosan együttműködve hozzák meg. 5.3 A vevőkör és a küldetésnyilatkozat elemzése Megtettük az első három lépést: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektor részére fog az új csoport szolgáltatást nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? >> A következő lépésben ezt a kérdést kell megválaszolni: Milyen megközelítési módot kell választani a CSIRT működésének beindításához? A következő lépésben mélyebb vizsgálatnak kell a vevőkört alávetni, azzal az elsődleges céllal, hogy annak alapján válasszák meg a megfelelő kommunikációs csatornákat: A vevők felé irányuló kommunikáció módszerének meghatározása A küldetésnyilatkozat meghatározása Valós végrehajtási / projektterv összeállítása A CSIRT-szolgáltatások meghatározása A szervezeti felépítés meghatározása HU Oldalszám 15 HU

17 Az információbiztonsági szabályzat meghatározása A megfelelő munkatársak felvétele A CSIRT-iroda használata Együttműködési lehetőség keresése más CSIRT-csoportokkal és az esetleges nemzeti kezdeményezésekkel Ezeket a lépéseket részletesebben is tárgyalni fogjuk a következő bekezdésekben, és felhasználhatók az üzleti és a projektterv kiindulási alapjaként is A vevőkör felé irányuló kommunikáció módja Amint már említettük, a vevőkör igényeinek ismerete ugyanolyan kiemelkedő jelentőséggel bír, mint a saját kommunikációs stratégiánké, beleértve a vevők számára nyújtandó információ átadására legalkalmasabb kommunikációs csatornákat is. A vezetéselmélet számos lehetséges megközelítést ismer a célcsoportok elemzéséből adódó probléma megoldására. Ebben a dokumentumban ezek közül kettőt írunk le: a SWOT- és a PEST-analízist. A SWOT-analízis A SWOT-analízis egy stratégiai tervezési eszköz, amelyet egy projektben, üzleti vállalkozásban vagy bármilyen egyéb, döntést igénylő helyzetben fennálló erősségek (Strengths), gyengeségek (Weaknesses), lehetőségek (Opportunities) és veszélyek (Threats) értékelésére használnak. A technikát Albert Humphrey dolgozta ki, amikor a 60-as és 70-es években egy, a Fortune 500 ranglistán felsorolt vállalatok adatait felhasználó kutatási projektet vezetett a Stanford University-n 8. Erősség Gyengeség Lehetőségek Veszélyek 2. ábra A SWOT-analízis 8 A SWOT-analízis lapja a Wikipédiában: HU Oldalszám 16 HU

18 A PEST-analízis A PEST-analízis egy másik fontos és széles körben elterjedt vevőkörelemző eszköz, amelynek az a célja, hogy feltárja a CSIRT működési környezetének politikai (Political), gazdasági (Economic), társadalmi (Socio-cultural) és technológiai (Technological) körülményeit. Ez az eszköz annak megállapításához ad segítséget, hogy a tervezés továbbra is összhangban van-e a környezettel, valamint nagy valószínűséggel segít a hibás feltevéseken alapuló lépések elkerülésében is. Politikai Ökológiai / környezeti kérdések A hazai piacra vonatkozó jelenlegi törvények Jövőbeli törvények Európai / nemzetközi törvények Szabályozó testületek és folyamatok Kormányzati politika Kormányciklus és kormányváltás Kereskedelmi politika Finanszírozás, szubvenciók és kezdeményezések A hazai piacon aktív lobbi- és nyomásgyakorló csoportok Nemzetközi nyomásgyakorló csoportok Társadalmi Életmód-tendenciák Demográfiai adatok Fogyasztói magatartás és vélemények Médiavélemények Társadalmi tényezőkre ható törvényi változások Márkához, vállalathoz és technológiához kapcsolódó arculat Fogyasztói vásárlási szokások Divat és szerepmodellek Jelentős események és hatások Vásárlási lehetőségek és tendenciák Etnikai / vallási tényezők Reklám és nyilvánosság 3. ábra A PEST-analízis modellje Gazdasági Hazai gazdasági helyzet Hazai gazdasági tendenciák Tengerentúli gazdaságok és tendenciák Általános adózási kérdések Termék-, ill. szolgáltatásspecifikus adózás Szezonalitási / időjárási kérdések Piaci és kereskedelmi ciklusok Az iparágra jellemző tényezők Piaci útvonalak és elosztási tendenciák Az ügyfeleket / végfelhasználókat motiváló erők Kamat- és árfolyamváltozások Technológiai Konkurens technológia fejlesztése Kutatásfinanszírozás Kapcsolódó / ezen alapuló technológiák Helyettesítő technológia / megoldások Technológiai kiforrottság Gyártás kiforrottsága és kapacitása Információ és kommunikáció Fogyasztói vásárlási mechanizmusok / technológiák Technológiára vonatkozó törvények Innovációs lehetőségek A technológia hozzáférhetősége, licencei, szabadalmak Szellemi tulajdonnal kapcsolatos kérdések A Wikipédiában részletes leírás olvasható a PEST-analízisről 9. Mindkét eszköz átfogó és strukturált áttekintést ad a vevők igényeiről. Az eredmények kiegészítik az üzleti ajánlatot, és ennek révén segítséget jelentenek a CSIRT létrehozásához szükséges finanszírozás megszerzésében. Kommunikációs csatornák 9 A PEST-analízis lapja a Wikipédiában: HU Oldalszám 17 HU

19 Fontos, hogy az elemzésben szerepeljen a lehetséges kommunikációs és információelosztási módszerek kérdése ( Hogyan történjen a kommunikáció a vevőkörrel? ). Ha van rá lehetőség, célszerű mérlegelni a vevők személyes felkeresését. Bizonyított tény, hogy a szemtől szembe folytatott megbeszélések könnyebbé teszik az együttműködést. Ha mindkét fél hajlandó a közös munkára, ezek a megbeszélések nyitottabb kapcsolatot eredményeznek. A CSIRT-csoportok általában többféle kommunikációs csatornát használnak. Az alábbiak már hasznosnak bizonyultak a gyakorlatban, ezért érdemes fontolóra venni az alkalmazásukat: Nyilvános webhely Tagoknak fenntartott zárt terület a webhelyen belül Webes űrlapok incidensek jelentéséhez Levelezőlisták Személyes Telefon / fax SMS Hagyományos levelek Havi és éves jelentések Az incidensek kezelésének megkönnyítését szolgáló ek, webes űrlapok, telefonok és faxok mellett (amelyeken keresztül a vevők incidensekről szóló jelentéseit kapják, más csoportokkal egyeztetik a tevékenységüket, illetve visszajelzést és támogatást nyújtanak az áldozatnak), a legtöbb CSIRT nyilvánosan elérhető webhelyeken és levelezőlistákon is közzéteszi biztonsági tanácsait.! Ha van rá lehetőség, az információkat biztonságos módon célszerű továbbítani. Az e- mailek például digitálisan aláírhatók PGP felhasználásával, az incidensek érzékeny adatait pedig minden esetben titkosított formában kell elküldeni. További információk olvashatók a 8.5 Rendelkezésre álló CSIRT-eszközök című fejezetben. Lásd még az RFC dokumentum 2.3 fejezetét. Képzeletbeli CSIRT (3a. lépés) Elemzés készítése a vevőkörről és a megfelelő kommunikációs csatornákról A vezetőség és a vevőkör néhány kulcspozícióban lévő tagjával lefolytatott ötletbörze elegendő adatot nyújtott a SWOT-analízis elkészítéséhez. Ennek alapján arra következtettek, hogy az alábbi alapvető szolgáltatásokra van szükség: Riasztások és figyelmeztetések Incidenskezelés (elemzés, válaszintézkedések támogatása és koordinálása) Bejelentések 10 HU Oldalszám 18 HU

20 Biztosítani kell, hogy az információ terjesztése jól szervezett formában történjen, és így a vevőkör lehető legnagyobb részéhez eljusson. Ezért úgy döntöttek, hogy a riasztásokat, figyelmeztetéseket és a biztonsági tanácsok formájában megtett bejelentéseket egy külön erre a célra létrehozott webhelyen teszik közzé, és egy levelezőlistán keresztül fogják terjeszteni. A CSIRT lehetővé teszi az incidensekről szóló jelentések ben, telefonon és faxon történő beküldését is. A következő lépésre egy egységesített webes űrlap bevezetését is tervbe vették. A következő oldalon egy SWOT-analízis mintája látható. HU Oldalszám 19 HU

21 Erősség A vállalat rendelkezik bizonyos ismeretekkel. Tetszik nekik a terv, és hajlandóak együttműködni. A támogatást és a finanszírozást az igazgatóság biztosítja. Gyengeség Nincs túl sok kommunikáció a különböző részlegek és a fiókirodák között. Nincs koordináció az ITincidensekkel Rengeteg a kis részleg. Lehetőségek Nem strukturált sebezhetőségi információk óriási mennyisége Koordináció iránti erős igény Az incidensekből származó veszteségek csökkentése Sok nyitott kérdés az ITbiztonság témakörében IT-biztonsági oktatás a munkatársak részére Veszélyek Kevés pénz áll rendelkezésre Kevés munkatárs Magas elvárások Kultúra 4. ábra SWOT-analízis minta Küldetés nyilatkozat A vevőkör CSIRT-szolgáltatásokra vonatkozó igényeinek és kívánságainak elemzését követően a küldetésnyilatkozat megfogalmazásával célszerű folytatni a folyamatot. A küldetésnyilatkozat a szervezetek társadalmon belüli, a vevők számára biztosított termékek és szolgáltatások révén betöltött alapfunkcióját írja le. Ennek segítségével egyértelmű formában közzétehető az új CSIRT létezése és feladata. Jól bevált gyakorlat a küldetésnyilatkozatot tömör, de nem túl szűkszavú megfogalmazása, mivel ez a dokumentum általában több éven keresztül változatlan marad. Íme néhány példa már működő CSIRT-csoportok küldetésnyilatkozatára: A <CSIRT neve> információt és segítséget nyújt a <vevők (határozza meg a saját vevőkörét)> részére a számítógépes biztonsági incidensek kockázatának csökkentésére HU Oldalszám 20 HU

22 irányuló megelőző intézkedések megvalósításához, valamint ilyen incidensek előfordulása esetén az azokra adott válaszintézkedések végrehajtásához. Információtechnológiai biztonsági incidensek megelőzésével és az azokra adott válaszintézkedésekkel kapcsolatos támogatás <Vevőkör> részére történő felajánlása. 11 A küldetésnyilatkozat megfogalmazása rendkívül fontos és szükséges kezdő lépés. Az RFC fejezetében részletesebb leírás olvasható arról, hogy a CSIRTcsoportnak milyen információkat célszerű közzétennie. Képzeletbeli CSIRT (3b. lépés) A képzeletbeli CSIRT vezetősége a következő küldetésnyilatkozatot fogalmazta meg: A képzeletbeli CSIRT információt és segítséget nyújt anyavállalatának munkatársai részére azzal a céllal, hogy csökkentse a számítógépes biztonsági incidensek kockázatait, valamint ilyen incidensek előfordulása esetén segítsen a válaszintézkedések végrehajtásában. A képzeletbeli CSIRT ily módon egyértelműsíti, hogy belső CSIRT-csoportként jött létre, és alapvető feladata az informatikai rendszerek biztonságával kapcsolatos kérdések kezelése. 11 A Govcert.nl küldetésnyilatkozata: HU Oldalszám 21 HU

23 6. Az üzleti terv kidolgozása Eddig a következő lépéseket tettük meg: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? 4. A környezet és a vevőkör elemzése 5. A küldetésnyilatkozat meghatározása >> A következő lépésben az üzleti tervet kell meghatározni. Az elemzés eredménye jó áttekintést ad a vevőkör igényeiről és (feltételezett) gyengeségeiről, ezért a következő lépésnél ezeket az adatokat használjuk kiindulási alapként. 6.1 A pénzügyi modell meghatározása Az elemzést követően kiválasztották az induláskor nyújtandó alapvető szolgáltatásokat. A következő lépés a pénzügyi modell átgondolása, hogy milyen paraméterek mellett lesz a szolgáltatás biztosítása megfelelő és megfizethető. Egy tökéletes világban a finanszírozást a vevőkör igényeihez igazítanák, de a valóságban a nyújtható szolgáltatások portfoliójának egy megadott költségvetéshez kell igazodnia. Ezért valószerűbb a pénzügyi kérdések megtervezésével kezdeni Költségmodell A költségekre alapvetően két fő tényező van hatással: a szolgáltatás elérhetőségének időtartama és az alkalmazandó munkatársak száma (és szaktudása). Igénylik-e az incidensekre adandó válaszintézkedések és a műszaki támogatás-szolgáltatás heti 7 napon, napi 24 órában történő biztosítását, vagy elég lesz, ha csak munkaidőben nyújtják ezeket? A kívánt rendelkezésre állástól és az irodai felszereltségtől függően (van-e lehetőség például arra, hogy a munkatársak otthonról végezzék a munkát), előnyös lehet telefonos készenléti ügyelet típusú vagy időbeosztásos szolgálati beosztást kialakítani. Egy elképzelhető forgatókönyv lehet az, hogy a megelőző szolgáltatásokat és a válaszintézkedésként nyújtott szolgáltatásokat is hivatali munkaidőben biztosítják. Munkaidőn kívül csak korlátozott szolgáltatásokat nyújtanak, például kizárólag jelentős katasztrófák vagy incidensek esetén, telefonos készenléti szolgálatban lévő munkatársakon keresztül. Arra is mód van, hogy nemzetközi együttműködési lehetőségeket keressenek más CSIRT-csoportokkal. Már most is vannak példák működő a Nap mozgását követő együttműködésre. Például az európai és amerikai csoportok közötti együttműködésről HU Oldalszám 22 HU

24 bebizonyosodott, hogy előnyös és jó megoldást nyújt egymás kapacitásainak megosztására. A Sun Microsystems különböző időzónákban több fiókirodát is üzemeltető CSIRT-csoportjának tagjai (akik mindegyike ugyanannak a CSIRTcsoportnak a tagja) a napi 24 órás szolgáltatásokat a Föld különböző pontjain működő alcsoportok közötti folyamatos műszakváltással biztosítják. Ez a módszer korlátozza a költségeket is, mivel az egyes csoportok kizárólag normál munkaidőben dolgoznak, ugyanakkor a Föld éjszakai zónája részére is nyújtanak szolgáltatásokat. Jól bevált módszer, hogy mélységében is elemzik a vevőkörnek a szolgáltatások napi 24 órában történő nyújtása iránti igényét. Az éjszakai órákban nyújtott riasztási és figyelmeztetési szolgáltatásnak nincs sok értelme, ha a címzett csak reggel olvassa az ilyen üzeneteket. Nagyon keskeny a határvonal a szükséges és a kívánatos szolgáltatások között, de különösen a munkaidő óriási különbségeket okoz a munkatársak számának és a megkívánt háttér-szolgáltatások rendelkezésre állásának tekintetében, és ennek révén kiemelkedő hatással van a költségmodellre Bevételi modell A költségek ismeretében a következő lépésben célszerű átgondolni a szolgáltatások finanszírozási módját meghatározó lehetséges bevételi modelleket. Íme néhány lehetséges forgatókönyv: Meglévő erőforrások használata Mindig előnyös megoldás a vállalat más területein már meglévő erőforrások felmérése. Van-e már alkalmazásban megfelelő munkatárs (például a meglévő informatikai részlegnél), aki rendelkezik a szükséges háttérrel és szakértelemmel? Valószínűleg meg lehet egyezni a részleg vezetőségével arról, hogy ezt a munkatársat a kezdeti fázis idejére átirányítsák a CSIRT-csoporthoz, vagy hogy eseti alapon támogatást nyújtson a CSIRT-csoport részére. Tagsági díj Egy másik lehetőség, hogy a csoport szolgáltatásait éves/negyedéves tagsági díj fejében értékesítik a vevőkörnek. A további szolgáltatások, például a konzultációs szolgáltatások vagy a biztonsági ellenőrzések díját igénybevétel alapján lehet rendezni. Egy másik elképzelhető forgatókönyv, hogy a (belső) vevőkör számára ingyenesen nyújtják a szolgáltatásokat, de a külső ügyfeleknek biztosított szolgáltatásokért esetleg fizetni kell. Az is megoldható, hogy a tanácsokat és az információs értesítőket a nyilvánosság számára elérhető webhelyen teszik közzé, és a webhelyen fenntartanak egy csak a tagok számára elérhető részt, ahol speciális, részletesebb vagy jobban testreszabott információkat tesznek közzé. A gyakorlatban már beigazolódott, hogy a CSIRT-szolgáltatás alapú előfizetés csak korlátozottan alkalmazható elégséges finanszírozás biztosítására, különösen a kezdeti időszakban. A csoportnak és a berendezéseknek például rögzített alapköltségei vannak, amelyeket előre ki kell fizetni. E költségek CSIRT-szolgáltatások értékesítése útján történő finanszírozása nehezen kivitelezhető, és rendkívül részletes pénzügyi elemzést kíván a nyereségküszöb megtalálása. Állami támogatás HU Oldalszám 23 HU

25 További megfontolandó lehetőségként kínálkozik az állam vagy állami testületek által nyújtott projekttámogatások megpályázása, mivel manapság sok ország rendelkezik ITbiztonsági projektek finanszírozásához elérhető pénzeszközökkel. Ez ügyben elsőként a belügyminisztériummal célszerű felvenni a kapcsolatot. Természetesen, a különböző bevételi modellek vegyesen is használhatók. 6.2 A szervezeti felépítés meghatározása A CSIRT megfelelő szervezeti felépítése nagymértékben függ az anyaszervezet és a vevőkör meglévő szerkezetétől. Ugyancsak függ a folyamatosan vagy eseti alapon alkalmazott szakértők elérhetőségétől. Egy jellegzetes CSIRT a következő szerepkörökkel rendelkezik a csoporton belül: Általános Vezérigazgató Munkatársak Irodavezető Könyvelő Kommunikációs tanácsadó Jogi tanácsadó Üzemeltetési műszaki csoport Műszaki csoportvezető A CSIRT-szolgáltatásokat nyújtó műszaki CSIRT-technikusok Kutatók Külső tanácsadók Igény szerint alkalmazva Rendkívül nagy segítséget jelent különösen a CSIRT működésének kezdeti szakaszában, ha jogi szakértő is van a csoportban. A költségeket ugyan növeli, de összességében időt takarít meg, és megelőzi az esetleges jogi problémákat. A vevőkör szakértelmében meglévő különbségektől függően, valamint azokban az időszakokban, amikor nagy médiafigyelem irányul a CSIRT-csoportokra, az eddigi tapasztalatok alapján igen hasznosnak bizonyult, ha kommunikációs szakember is dolgozott a csoportokban. E szakemberek feladata, hogy a bonyolult műszaki kérdéseket a vevők és a médiapartnerek számára érthetőbb formában fogalmazzák meg. A kommunikációs szakember ugyanakkor visszajelzést is ad a vevőkörtől a műszaki szakemberek felé, és így egyfajta fordítóként vagy közvetítőként működik a két csoport között. Az alábbiakban néhány példát mutatunk be a működő CSIRT-csoportok által alkalmazott szervezeti modellekre. HU Oldalszám 24 HU

26 6.2.1 A független üzleti modell A CSIRT független szervezetként kezdi meg működését, saját vezetőséggel és alkalmazottakkal. 5. ábra Független üzleti modell HU Oldalszám 25 HU

27 6.2.2 A beágyazott modell Ez a modell akkor alkalmazható, ha a CSIRT-csoportot egy már létező szervezeten belül, például a meglévő IT-részleg kereteiben hozzák létre. A CSIRT-csoportot egy csoportvezető irányítja, aki egyben a CSIRT tevékenységeiért is felel. A csoportvezető gyűjti össze a technikusokat az incidensek megoldására és a CSIRT feladatainak elvégzésére. Ő kérhet segítséget szakértői támogatáshoz a meglévő szervezeten belül. Ez a modell igény szerint egyedi szituációkhoz is igazítható. Ebben az esetben a csoportnál meghatározott számú teljes munkaidő egység (FTE) van kiosztva. Egy internet-szolgáltatónál a felhasználói jogosultsággal való visszaéléshez kapcsolódó események kezelése nyilvánvalóan egy vagy (mint a legtöbb esetben) akár több FTEnek megfelelő teljes munkaidős munkát jelent. 6. ábra Beágyazott szervezeti modell HU Oldalszám 26 HU

28 6.2.3 A kampusz modell A kampusz modellt, mint ahogy a neve is utal erre, főleg tudományos és kutatóintézetekben működő CSIRT-csoportok alkalmazzák. A legtöbb tudományos és kutató szervezet számos, különböző helyen található egyetemből és ezekhez kapcsolódó intézményből (kampuszból) áll, amelyek egy régióban vagy akár az egész országban szétszórtan helyezkednek el (az utóbbira szolgálhatnak például a Nemzeti Kutató Hálózatok (NREN-ek). Ezek a szervezetek általában függetlenek egymástól, és gyakran saját CSIRT-csoporttal rendelkeznek. Ezek a CSIRT-csoportok rendszerint egy anya- vagy más néven központi CSIRT irányítása alá vannak összevonva. A központi CSIRT koordinálja a munkájukat, és a külvilág számára az egyedüli kapcsolattartási pontként jelenik meg. A központi CSIRT a legtöbb esetben szintén nyújt alapvető CSIRT-szolgáltatásokat és incidensekre vonatkozó információkat is továbbít a megfelelő kampusz CSIRT-csoportok számára. Bizonyos CSIRT-csoportok a többi kampusz CSIRT-csoportjaival közösen terjesztik alapvető CSIRT-szolgáltatásaikat, ami a központi CSIRT szempontjából alacsonyabb fenntartási költséget eredményez. HU Oldalszám 27 HU

29 7. ábra Kampusz modell Az önkéntes modell Ez a szervezeti modell olyan személyek (szakértők) csoportját írja le, akik azért állnak össze, hogy önkéntes alapon tanácsot és támogatást nyújtsanak egymásnak (és másoknak). Ez egy lazán szerveződő közösség, amely nagyban függ a résztvevők motiváltságától. Ezt a modellt alkalmazza például a WARP közösség A megfelelő munkatársak felvétele A biztosítandó szolgáltatásokra és támogatási szintekre vonatkozó döntések meghozása, és a szervezeti modell kiválasztása után meg kell határozni a feladat elvégzéséhez szükséges képzett szakemberek számát. 13 A WARP-kezdeményezés: HU Oldalszám 28 HU

30 Szinte lehetetlen konkrét számokkal meghatározni, hogy ebből a szempontból mekkora létszámú technikai személyi állományra van szükség, de az alábbi kulcsértékek az eddigiekben jó közelítésnek bizonyultak: Két alapvető szolgáltatás, a tanácsadási értesítők továbbításának és az incidensek kezelésnek biztosításához: legalább 4 FTE. Munkaidőben teljes szolgáltatási kört nyújtó CSIRT működéséhez és a rendszerek karbantartásához: legalább 6-8 FTE. A hét 7 napján napi 24 órás szolgáltatást nyújtó, teljesen feltöltött személyi állományú műszakhoz (a munkaidőn kívüli időtartamot 2 műszakkal megoldva): legalább 12 FTE. Ezeknél a számoknál már a betegségek, szabadságolás stb. kapcsán szükséges többlet munkaerőigényt is figyelembe vették. A helyi kollektív munkaszerződéseket is ellenőrizni kell. Ha a munkatársak a normál munkaidőn kívül is dolgoznak, ez a részükre kifizetendő külön juttatások nyomán többletköltségekhez is vezethet. HU Oldalszám 29 HU

31 Az alábbiakban rövid áttekintés olvasható a CSIRT technikai szakembereitől elvárt kulcsfontosságú szakmai kompetenciákról. Technikai munkatársak általános munkaköri leírásának tételei: Személyi kompetenciák Rugalmasság, kreativitás és jó csapatszellem Jó elemzőkészség Bonyolult műszaki témák egyszerűen érthető megfogalmazásának képessége Jó titoktartás és az eljárásrend szerinti munkavégzés képessége Jó szervezési készség Stressztűrő képesség Erős szóbeli és írásbeli kommunikációs készség Széles látókörű gondolkodásmód és hajlandóság az új ismeretek elsajátítására Technikai kompetenciák Az internetes technológiák és protokollok széles körű ismerete A Linux és a UNIX rendszerek ismerete (a vevőkör eszközeitől függően) Az MS Windows rendszerek ismerete (a vevőkör eszközeitől függően) A hálózati infrastruktúra eszközeinek ismerete (útvonalválasztók, kapcsolók, DNS-, proxy- és levelezőtechnológiák stb.) Internetes alkalmazások ismerete (SMTP, HTTP(s), FTP, Telnet, SSH stb.) Biztonsági veszélyek ismerete (DdoS (szolgáltatások felfüggesztésére irányuló támadás több gazdagéptől), phishing (adathalászat), defacing (weboldalfeltörés), sniffing (adatforgalom-lehallgatás) stb.) Kockázatértékelési és gyakorlati megvalósítási ismeretek További kompetenciák Hajlandóság a hét 7 napján napi 24 órában nyújtott szolgáltatás biztosításához szükséges, illetve telefonos készenléti munkarendben dolgozni (a szolgáltatási modelltől függően) A megengedett legnagyobb utazási távolság (rendelkezésre állás az irodában egy esetleges vészhelyzet esetén; a beérkezéshez szükséges megengedett leghosszabb idő) Képzettség szintje IT-biztonság terén szerzett munkatapasztalat Képzeletbeli CSIRT (4. lépés) Az üzleti terv meghatározása Pénzügyi modell Mivel a vállalat a hét 7 napján napi 24 órában nyújtott folyamatos e-üzlettel foglalkozik, és az információtechnológiai részlege is ilyen munkarend szerint működik, úgy döntöttek, hogy munkaidőben teljes körű, munkaidőn kívül pedig telefonos készenléti szolgáltatást biztosítanak. A vevőkör részére ingyenesen nyújtják a szolgáltatásokat, de a teszt- és az értékelési fázisban felmérik a harmadik fél ügyfelek számára nyújtott szolgáltatások lehetőségét is. Bevételi modell HU Oldalszám 30 HU

32 A kezdő és a tesztfázis alatt a CSIRT-csoportot az anyavállalat fogja finanszírozni. A teszt- és az értékelési fázis során további finanszírozási lehetőségekről, többek között a szolgáltatások harmadik fél ügyfelek részére történő értékesítéséről is fognak tárgyalni. Szervezeti modell Az anyaszervezet kisvállalat, ezért a beágyazott modellt választották. Munkaidőben egy három főből álló személyzet fogja biztosítani az alapvető szolgáltatásokat (biztonsági tanácsok továbbítása és incidenskezelés/koordináció). A vállalat IT-részlegén már dolgoznak megfelelő jártassággal rendelkező szakemberek. Megállapodnak a részleggel abban, hogy szükség esetén az új CSIRT eseti alapon támogatást kérhet tőlük. Ugyanígy igénybe vehetik a 2. szintű telefonos készenléti szolgálatot adó technikusaik segítségét is. Az alap CSIRT-csoportnak négy teljes munkaidős és öt kiegészítő tagja lesz. Ezek egyike váltott műszakban is rendelkezésre fog állni. Munkatársak A CSIRT-csoport vezetője biztonsági területen, valamint 1. és 2. szintű támogatásban szerzett tapasztalatokkal rendelkezik, és dolgozott már a rugalmas válságkezelés területén. A csoport három másik tagja biztonsági szakember. A CSIRT-csoport ITrészleg által küldött részidős tagjai a vállalati infrastruktúra különböző szakterületeinek specialistái. 6.4 Az iroda használata és felszereltsége Az iroda felszereltsége és használata, valamint a fizikai biztonság rendkívül kiterjedt témakörök, ezért ebben a dokumentumban nem tudunk kimerítő leírást adni ezekről. Ebben a fejezetben csak egy rövid áttekintést kívánunk adni erről a témakörről. A fizikai biztonságról további információ található a következő weblapokon: Az épület megszilárdítása Mivel a CSIRT-csoportok általában rendkívül érzékeny információkat kezelnek, jól bevált gyakorlat, hogy átadják a csoportnak az iroda fizikai biztonságának ellenőrzését. Ez nagymértékben függ a meglévő létesítményektől és infrastruktúrától, valamint az anyavállalat érvényben lévő információbiztonsági szabályzatától. A kormányok például osztályozási rendszerekkel dolgoznak, és rendkívül szigorúan szabályozzák a bizalmas információk kezelését. Nézzen utána, hogy saját vállalatánál vagy intézményénél milyen helyi szabályok és szabályzatok vannak érvényben. Az új CSIRT-csoportok általában az anyaszervezetük együttműködésétől függenek a helyi szabályok, szabályzatok és egyéb jogi kérdések megismerése tekintetében. A szükséges felszereltség és biztonsági intézkedések kimerítő tárgyalása nem képezi a jelen dokumentum tárgyát. Mindazonáltal az alábbiakban rövid listát közlünk a CSIRTcsoport működéséhez szükséges alapszintű körülményekről: HU Oldalszám 31 HU

33 HU Oldalszám 32 HU

34 Az épületre vonatkozó általános szabályok Beléptető rendszer használata Legalább a CSIRT-iroda hozzáférhetőségének a CSIRT-csoport munkatársaira történő lekorlátozása Az irodák és a bejáratok ipari kamerás megfigyelése Bizalmas információk kulccsal zárható lemezszekrényben vagy széfben történő archiválása Biztonságos információtechnológiai rendszerek használata Az IT-berendezésekre vonatkozó általános szabályok Olyan berendezések használata, amelyet a munkatársak támogatni tudnak A rendszerek védelmének megerősítése A rendszerek javítóprogramjainak futtatása és frissítése még az Internethez való csatlakoztatásuk előtt Biztonsági szoftverek használata (tűzfalak, víruskeresők, kémprogram-irtók stb.) A kommunikációs csatornák karbantartása Nyilvános webhely Tagoknak fenntartott zárt terület a webhelyen belül Webes űrlapok incidensek jelentéséhez (PGP- / GPG- / S/MIME-támogatás) Levelezőlista szoftver Egy kifejezetten erre a célra szolgáló telefonszám elkülönítése és hozzáférhetővé tétele a vevőkör számára: - telefon - fax - SMS Nyilvántartó rendszer(ek) Tagok, más csoportok stb. adatait tartalmazó kapcsolattartási adatbázis CRM-eszközök Incidenskezelési jegyrendszer A vállalati stílus használata a kezdetektől fogva a következőkkel kapcsolatban: Az ek és a tanácsadási értesítők standard formai megjelenése Hagyományos levelek Havi és éves jelentések Incidensjelentési űrlap Egyéb Hálózaton kívüli kommunikációs lehetőség biztosítása egy esetleges támadás esetére Redundáns internetes kapcsolat biztosítása Az egyes CSIRT-eszközökről további információk olvashatók a 8.5 Rendelkezésre álló CSIRT-eszközök című fejezetben. HU Oldalszám 33 HU

35 6.5 Az információbiztonsági szabályzat kidolgozása Típusától függően a CSIRT egyedi információbiztonsági szabályzat szerint fog működni. Ezeknek a szabályzatoknak, az üzemeltetési és az adminisztratív folyamatok és eljárások megkívánt státusának leírása mellett a törvényekkel és a szabványokkal különösen a CSIRT felelősségi körére vonatkozókkal is összhangban kell lenniük. A CSIRT-csoportok általában a nemzeti törvények és szabályzatok hatálya alá tartoznak, amelyeket gyakran az európai jogalkotás (általában az irányelvek) és más nemzetközi megállapodások szellemében valósítanak meg. A szabványok nem feltétlenül kötelezőek közvetlenül, azonban törvények és rendeletek kötelezővé tehetik vagy javasolhatják azok betartását. Alább olvasható egy rövid lista a lehetséges törvényekről és szabályzatokról: Nemzeti Információtechnológiára, telekommunikációra és médiára vonatkozó különböző törvények Adatvédelmi és adatbiztonsági törvények Adatmegőrzésre vonatkozó törvények Pénzügyi, számviteli és vállalatvezetési törvények A vállalatirányításra és az IT-irányításra vonatkozó magatartási kódexek Európai Az elektronikus aláírásokról szóló 1999/93/EK irányelv Az adatvédelemről szóló 1995/46/EK és az elektronikus hírközlési ágazatban a magánélet védelméről szóló 2002/58/EK irányelv Az elektronikus hálózatokról és szolgáltatásokról szóló 2002/19/EK és 2002/22/EK irányelvek A társasági jogról szóló irányelvek (pl. a 8. társasági jogi irányelv) Nemzetközi Basel II egyezmény (különösen az üzemeltetési kockázat kezelésére vonatkozó részek) Az Európa Tanács informatikai bűnözésről szóló egyezménye Az Európa Tanács emberi jogokról szóló egyezménye (a személyes adatok titkosságáról szóló 8. cikk) Nemzetközi Számviteli Standardok (IAS; bizonyos mértékben kötelezővé teszik az ITellenőrzéseket) Szabványok British Standard BS 7799 (Információbiztonság) ISO2700x nemzetközi szabványok (Információbiztonsági irányítási rendszerek) A német IT-Grundschutzbuch, a francia EBIOS és egyéb nemzeti változatok A jogi tanácsadóval közösen tudja megállapítani, hogy az Önök CSIRT-csoportja a nemzeti és a nemzetközi jogszabályoknak megfelelően működik-e. HU Oldalszám 34 HU

36 Az információkezelési szabályzatokban a következő alapkérdéseket kell megválaszolni: Hogyan címkézik vagy osztályozzák a beérkező információkat? Hogyan kezelik az információkat, különösen a kizárólagosság tekintetében? Milyen megfontolásokat alkalmaznak az információközléssel kapcsolatban, különösen amikor incidensre vonatkozó információt adnak át más csoportoknak vagy helyszíneknek? Vannak-e olyan jogi megfontolások, amelyeket figyelembe kell venni az információk kezelésével kapcsolatban? Van-e olyan szabályzat, amely az archívumok és/vagy az adatkommunikáció, továbbá különösen az forgalom kizárólagosságának és integritásának védelmi célú titkosításával foglalkozik? Ez a szabályzat tartalmaz-e olyan esetleges jogi elhatároló feltételeket, mint például kulcstitkosítás vagy perek esetén a dekódolás kikényszeríthetősége? Képzeletbeli CSIRT (5. lépés) Az iroda felszereltsége és helye Mivel az anyavállalat már megvalósította a hatékony fizikai biztonságot, az új CSIRT igényei megfelelően ki vannak elégítve ebből a szempontból. Rendelkezésre áll egy ún. hadműveleti terem, amelyből vészhelyzet esetén koordinálni lehet az intézkedések végrehajtását. A titkosítási anyagok és érzékeny információkat tartalmazó dokumentumok számára vásároltak egy széfet. Kiépítettek egy külön telefonvonalat és egy házi központot, hogy megkönnyítsék a forródrótos szolgálat munkaidőben történő elérését, és hogy munkaidőn túl ugyanezen a számon legyen hívható a készenléti mobiltelefon. A meglévő berendezések és a vállalati webhely is használható a CSIRT-vonatkozású információk bejelentésére. Telepítettek és karbantartanak egy levelezőlistát, amelyen belül elkülönítettek egy részt a csoport tagjai közötti és más csoportokkal folytatott kommunikáció céljára. A munkatársak elérhetőségi adatainak elektronikus változatát egy adatbázisban tárolják, egy kinyomtatott példányát pedig a széfben őrzik. Szabályozás Mivel a CSIRT egy meglévő információbiztonsági szabályzatokkal rendelkező vállalatba van beágyazva, a CSIRT-csoportra vonatkozó megfelelő szabályzatokat a vállalat jogi tanácsadójának segítségével fektették le. 6.6 Együttműködési lehetőség keresése más CSIRTcsoportokkal és az esetleges nemzeti kezdeményezésekkel A további CSIRT-kezdeményezések létezéséről, és az ezek közötti együttműködés iránti erős igényről már többször írtunk ebben a dokumentumban. Bevált gyakorlat, hogy a lehető legkorábbi időpontban felveszik a kapcsolatot más CSIRT-csoportokkal, hogy ezzel létrejöjjön a szükséges kapcsolat a CSIRT-közösséggel. A CSIRT-csoportok jellemzően rendkívül nyitottak abban a tekintetben, hogy segítsenek az újonnan létrehozott csoportoknak az elindulásban. HU Oldalszám 35 HU

37 Az ENISA Európai CERT-tevékenységek nyilvántartása 14 c. dokumentuma nagyon jó kiindulási pont az országban működő CSIRT-csoportok és a nemzeti CSIRTegyüttműködési lehetőségek megkereséséhez. Ha a megfelelő CSIRT-információforrás megtalálásához segítségre van szüksége, lépjen kapcsolatba az ENISA CSIRT-szakértőivel: CERT-Relations@enisa.europa.eu 14 Az ENISA nyilvántartása: HU Oldalszám 36 HU

38 Az alábbiakban áttekintés olvasható a CSIRT-közösség tevékenységeiről. A Nyilvántartásban átfogóbb leírást és további információt találhat erről a témakörről. Az európai CSIRT-kezdeményezés TF-CSIRT 15 A TF-CSIRT munkacsoport az európai számítógép-biztonsági incidenskezelő csoportok (CSIRT-csoportok) közötti együttműködést segíti elő. A munkacsoport legfontosabb célja az, hogy fórumot biztosítson a tapasztalatok és az ismeretek cseréjéhez, kísérleti szolgáltatásokat hozzon létre az európai CSIRT-közösség részére, és támogassa új CSIRT-csoportok létrehozását. A TF-CSIRT munkacsoport fő céljai: egy olyan fórum biztosítása, ahol lehetőség van a tapasztalatok és az ismeretek cseréjére; kísérleti szolgáltatások létrehozása az európai CSIRT közösség részére; a biztonsági incidensekre adott válaszintézkedésekre vonatkozó szabványok és eljárások terjesztésének elősegítése; új CSIRT-csoportok létrehozásának támogatása és a CSIRT-munkatársak oktatása. A TF-CSIRT tevékenységei Európára és a környező országokra összpontosulnak a TERENA Műszaki Bizottsága által szeptember 15-én jóváhagyott feladatmeghatározásnak megfelelően. Globális CSIRT-kezdeményezés FIRST 16 A FIRST az elsődleges szervezet az incidensekre adott válaszintézkedések tekintetében, és világszinten is az ágazat elismert vezetője. A FIRST tagsága lehetővé teszi az incidenskezelő csoportoknak, hogy hatékonyabban reagáljanak a biztonsági incidensekre, legyen szó akár válaszintézkedésekről, akár megelőző tevékenységről. A FIRST számos különböző, kormányzati, üzleti és oktatási szervezetnél működő számítógép-biztonsági incidenskezelő csoportot fog össze. A FIRST célja, hogy az incidensek megelőzése terén előmozdítsa az együttműködést és a koordinációt, élénkítse az incidensekre adott gyors válaszintézkedéseket, és elősegítse a tagok és a szélesebb közösség körében az információk megosztását. A globális incidenskezelő közösségben általa alkotott bizalmi hálón kívül a FIRST hozzáadott értéket képviselő szolgáltatásokat is biztosít. 15 TF-CSIRT: 16 FIRST: HU Oldalszám 37 HU

39 Képzeletbeli CSIRT (6. lépés) Az együttműködés keresése Az ENISA nyilvántartása segítségével gyorsan találtak néhány ugyanabban az országban működő CSIRT-csoportot, amelyekkel kapcsolatba is léptek. Az egyikkel megállapodtak abban, hogy az újonnan felvett csoportvezető helyszíni látogatást tesz náluk. Ennek során a csoportvezető megismerkedett az országban folyó CSIRTtevékenységekkel, és részt vett egy megbeszélésen. A megbeszélés több mint hasznosnak bizonyult, mivel sikerült betekintést nyerni különböző munkamódszerekbe és támogatást kapni néhány további csoporttól. HU Oldalszám 38 HU

40 7. Az üzleti terv továbbfejlesztése Eddig a következő lépéseket tettük meg: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? 4. A környezet és a vevőkör elemzése 5. A küldetésnyilatkozat meghatározása 6. Az üzleti terv kidolgozása a. A pénzügyi modell meghatározása b. A szervezeti felépítés meghatározása c. A munkatársak felvételének elkezdése d. Az iroda használatbavétele és berendezése e. Az információbiztonsági szabályzat kidolgozása f. Együttműködő partnerek keresése >> A következő lépés a fentiek hozzáadása a projekttervhez és a szolgáltatások elindítása! Az üzleti terv összeállítása jó módszer a projekt meghatározásának elkezdéséhez. Ezt az üzleti tervet a projektterv alapjául, továbbá a vezetőségi támogatás kérelmezéséhez, valamint költségvetési és egyéb erőforrások megszerzéséhez fogják használni. Az üzleti terv hasznosnak bizonyult abból a szempontból, hogy folyamatos lehetőséget nyújt vezetőségi jelentések készítésére, ezzel magasan tartja az IT-biztonsági problémákkal kapcsolatos tudatossági szintet, és ezen keresztül eléri, hogy a saját CSIRT folyamatos támogatást kapjon. Az üzleti terv elkészítése a problémáknak és a lehetőségeknek az 5.3 A vevőkör elemzése c. fejezetben leírt elemzési modellt felhasználó elemzésével, és a lehetséges vevőkörhöz szorosan kötődő kapcsolati pontok felkutatásával kezdődik. Ahogy már korábban is említettük, sok mindent át kell gondolni egy CSIRT elindításakor. A legjobb úgy eljárni, hogy a fent említetteket a CSIRT igényeinek megjelenésével párhuzamosan azokhoz igazítják. Jól bevált gyakorlat, hogy a vezetőség részére készülő jelentésben a saját ügyünket az újságokban megjelent friss cikkekből vagy az Internetről szerzett információkkal alátámasztva, a lehető legfrissebb helyzetnek megfelelően mutatjuk be, rámutatva arra, hogy a CSIRT-szolgáltatások és az incidensek belső koordinálása miért döntő fontosságú az üzleti vagyon biztonsága szempontjából. Azt is egyértelművé kell tenni, hogy IT-biztonsági kérdésekben csak a folyamatos támogatás vezet el a stabil üzletmenethez, különösen egy olyan vállalat vagy intézmény esetében, amelyik az informatikától függ. HU Oldalszám 39 HU

41 (Bruce Schneier egyik kitűnő mondása rendkívül jól ragadja meg ennek lényegét: A biztonság nem termék, hanem folyamat! 17 ) A CERT/CC által közreadott alábbi grafikon közismert eszköz a biztonsági problémák szemléltetésére: 8. ábra A behatolók ismeretei összevetve a támadás kifinomultságával (forrás: CERT-CC 18 ) A grafikon az informatikai biztonság terén megfigyelhető tendenciákat jeleníti meg, és jól mutatja, hogyan csökkent az egyre kifinomultabb támadások kivitelezéséhez szükséges ismeretek szintje. Azt is érdemes megemlíteni, hogy a sebezhetőségek megszüntetésére kiadott szoftverfrissítések elérhetővé válása és az ellenük irányuló támadások kezdete között eltelt időtartam egyre rövidebb lesz: Javítóprogram -> Terjedési ütem Az azt kihasználó kód Nimda: 11 hónap Code red: napok Slammer: 6 hónap Nimda: órák Nachi: 5 hónap Slammer: percek Blaster: 3 hét Witty: 1 nap (!) Az incidensekről összegyűjtött adatok, a javítási lehetőségek és az incidensekből levont tanulságok szintén alkalmasak arra, hogy jó előadást lehessen összeállítani a segítségükkel. 17 Bruce Schneier: HU Oldalszám 40 HU

42 7.1 Az üzleti tervek és a vezetőség reakcióját kiváltó elemek leírása A vezetőség számára tartott, a CSIRT továbbfejlesztését is tartalmazó bemutató önmagában nem tekinthető üzleti tervnek, de megfelelő végrehajtásával a legtöbb esetben elérhető a CSIRT vezetőségi támogatása. Másfelől azonban nem szabad az üzleti tervet pusztán a vezetőség támogatását megcélzó gyakorló feladatnak tekinteni, hanem a csoporttal és a vevőkörrel folytatott kommunikációhoz is célszerű azt felhasználni. Az üzleti terv kifejezés túlzottan üzletiesnek hangozhat, olyasvalaminek, ami rendkívül távol esik a CSIRT napi gyakorlatától, de a CSIRT létrehozásakor megfelelő súlypontokat és jó iránymutatást biztosít. Az alábbi kérdésekre adott válaszok felhasználhatók egy jó üzleti terv kialakításához (Az itt megadott mintaválaszok feltevéseken alapulnak, és pusztán szemléltetési célokat szolgálnak. Az igazi válaszok nagymértékben függnek az igazi körülményektől.) Mi a probléma? Mit szeretnének elérni a vevőkkel? Mi történik, ha nem tesznek semmit? Mi történik, ha cselekszenek? Mennyibe fog kerülni? Milyen eredménnyel fog járni? Mikor kezdenek és mikor fejeződik be? Mi a probléma? Legtöbbször akkor merül fel egy CSIRT létrehozásának ötlete, amikor az információtechnológiai biztonság a vállalat vagy intézmény alapvető tevékenységének létfontosságú részévé válik, és az IT-biztonsági incidensek már üzleti kockázatot jelentenek, aminek következtében ezek csökkentése a mindennapi tevékenység normál részévé válik. A vállalatok és intézmények többségében működik egy standard támogatási részleg vagy segítségnyújtó csoport (Help Desk), de ezek a legtöbb esetben elégtelenül és a megkívánt strukturáltságot el nem érő módon kezelik a biztonsági incidenseket. A biztonsági incidensek terén a legtöbb esetben különleges jártasságra és figyelemre van szükség. A probléma strukturáltabb megközelítése ugyancsak előnyös, mivel csökkenti a vállalat üzleti kockázatait és kárát. Leggyakrabban az a probléma, hogy hiányzik a koordináció, és a meglévő ismereteket nem hasznosítják az incidensek kezelésére, ami pedig megelőzhetné későbbi bekövetkezésüket, és megelőzhetné az esetleges pénzügyi veszteségeket és / vagy az intézmény hírnevének sérülését. Milyen célokat kívánnak elérni a vevőkörrel kapcsolatban? Ahogy már korábban is volt szó róla, a CSIRT szolgáltatásokat fog nyújtani a vevőinek, és támogatni fogja őket az IT-biztonsági incidensek és problémák megoldásában. Kiegészítő cél az IT-biztonsági ismeretek bővítése és egy biztonságtudatos kultúra kialakítása. HU Oldalszám 41 HU

43 Egy ilyen kultúra már a kezdetektől proaktív és megelőző jellegű intézkedésekkel igyekszik csökkenteni a működési költségeket. Egy ilyen együttműködésen és segítségen alapuló kultúra vállalati és intézményi bevezetése a legtöbb esetben az általános hatékonyságra is ösztönzőleg hathat. Mi történik, ha senki sem cselekszik? Az IT-biztonság strukturálatlan kezelése további károkat idézhet elő, és nem utolsósorban az intézmény hírneve is sérülhet. Másfelől pénzügyi veszteségekhez és jogi következményekhez is vezethet. Mi történik, ha lépéseket tesznek? Nő a biztonsági problémák előfordulásával kapcsolatos tudatosság. Ez segít a hatékonyabb megoldásukban és a későbbi veszteségek megelőzésében. Mennyibe fog kerülni? A szervezeti modelltől függően a CSIRT-csoport tagjainak fizetése, valamint a csoport megszervezése, felszerelése, eszközökkel való ellátása és a szoftverek licencdíjai alkotják a költségeket. Milyen eredménnyel fog járni? A tevékenység típusától és a korábbi veszteségektől függően az eredmény az eljárások és a biztonsági gyakorlatok jobb átláthatósága lesz, így ennek révén a rendszer alapvető üzleti vagyont fog védeni. Milyen az ütemterv? Lásd egy mintaprojektterv leírását a 12. A projektterv leírása c. fejezetben. Példák létező üzleti tervekre és megközelítésekre Íme néhány tanulmányozásra érdemes példa a CSIRT üzleti tervre: Creating a Financial Institution CSIRT: A Case Study (Esettanulmány egy pénzintézeti CSIRT létrehozásáról) Ennek a dokumentumnak az a célja, hogy megossza egy (a dokumentumban csak AFI-ként említett) pénzintézetnek a biztonsági aggályok megszüntetésére vonatkozó terv kidolgozása és a CSIRT-csoport felállítása során szerzett tapasztalatait. A CERT POLSKA üzleti tervének összefoglalása (PDF-formátumú diabemutató). Egy incidenskezelő csoport (IRT) létrehozása félelmetes feladat lehetett az 1990-es években. Az IRT-csoportokat alkotó emberek jó részének nincs ilyen jellegű tapasztalata. Ez a dolgozat azt vizsgálja, hogy milyen szerepet tölthet be egy IRT a közösségben, valamint melyek azok a problémák, amelyeket a csoport kialakítása alatt és működésének megkezdése után meg kell oldani. Előnyös lehet a létező IRTcsoportok számára is, mivel eddig megoldatlan problémákra is rávilágíthat. HU Oldalszám 42 HU

44 Roger Benton: Case Study in Information Security, Securing the Enterprise (Információbiztonsági esettanulmány - A vállalkozás biztonságának megteremtése) Ez a gyakorlati útmutató egy esettanulmány, amely egy biztosítótársaságnak egy egész vállalatra kiterjedő biztonsági rendszerre történő áttérését mutatja be. Az a célja, hogy útmutatást adjon a biztonsági rendszer létrehozásához, illetve az arra való áttéréshez. Kezdetben csak primitív online biztonsági rendszer állt rendelkezésre a vállalati adatokhoz történő hozzáférés ellenőrzéséhez. A kockázatok kimagaslóak voltak az online környezeten kívül semmilyen más ellenőrző mechanizmus nem biztosította az adatok sértetlenségét. Alapszintű programozási ismeretek birtokában bárki új adatokat adhatott hozzá az éles rendszerhez, továbbá módosíthatott és/vagy törölhetett már meglévő adatokat. Marriott's e-security strategy: business-it collaboration (A Marriott elektronikus biztonsági stratégiája: az üzlet és az IT együttműködése) A Marriott International Inc. vállalatcsoportnál dolgozó Chris Zoladz tapasztalata szerint az e-üzlet biztonsága egy folyamat, nem pedig egy projekt. Ez volt Zoladz üzenete az Intermedia Group támogatásával a közelmúltban Bostonban megrendezett, e-biztonsággal foglalkozó konferencián és expón. A Marriott információs védelmi területének alelnökeként Zoladz a jogi részlegen keresztül küldi a jelentéseit, noha ő maga nem jogász. Feladata azonosítani, hogy hol tárolják a Marriott legértékesebb üzleti információit, és azt, hogy ezek az információk hogyan mozognak a vállalaton belül és azon kívül. A biztonságot támogató műszaki infrastruktúra a Marriottnál külön felelősségi körbe tartozik, amely az IT-biztonsági architektúrához van rendelve. Képzeletbeli CSIRT (7. lépés) Az üzleti terv továbbfejlesztése Úgy döntöttek, hogy tény- és számadatokat gyűjtenek a vállalat működésének korábbi időszakából. Ez rendkívül hasznos lépés az IT-biztonsági helyzet statisztikai alapon történő áttekintéséhez. Az adatgyűjtésnek a CSIRT létrejötte és működésének elindulása után is folytatódnia kell a statisztikák frissítése érdekében. Felvették a kapcsolatot más nemzeti CSIRT-csoportokkal, és elbeszélgettek velük az ő üzleti terveikről. Ezek a csoportok azzal támogatták őket, hogy összeállítottak néhány diát az információtechnológiai biztonsági incidensek közelmúltbeli fejleményeiről, és az incidensek költségeiről. A képzeletbeli CSIRT-csoport esetében nem kellett külön meggyőzni a vezetőséget az információtechnológiai feladatok fontosságáról, így nem volt nehéz megkapni az engedélyüket az első lépés megtételéhez. Elkészítették az üzleti tervet és a projekttervet, amely az induló költségekre és a működési költségekre vonatkozó becslést is tartalmazta. HU Oldalszám 43 HU

45 8. Példák üzemeltetési és műszaki eljárásokra (munkafolyamatok) Eddig a következő lépéseket tettük meg: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? 4. A környezet és a vevőkör elemzése 5. A küldetésnyilatkozat meghatározása 6. Az üzleti terv kidolgozása a. A pénzügyi modell meghatározása b. A szervezeti felépítés meghatározása c. A munkatársak felvételének elkezdése d. Az iroda használatbavétele és berendezése e. Az információbiztonsági szabályzat kidolgozása f. Együttműködő partnerek keresése 7. Az üzleti terv továbbfejlesztése a. Az üzleti terv jóváhagyásának elérése b. A különböző elemek projekttervvé történő összeállítása >> A következő lépés: a CSIRT működőképessé tétele A pontosan definiált munkafolyamatok alkalmazása javít a minőségen, és lerövidíti az egyes incidensek illetve sebezhetőségi esetek megoldásához szükséges időt. Ahogy a példát bemutató keretes mezőkben már leírtuk, a képzeletbeli CSIRT az alapvető CSIRT szolgáltatásokat fogja nyújtani: Riasztások és figyelmeztetések Incidenskezelés Bejelentések Ebben a fejezetben példákat találhat a CSIRT-csoportok alapvető szolgáltatásait leíró munkafolyamatokra. Ez a fejezet a különböző forrásokból származó információk begyűjtéséről, fontosságának és eredetiségének ellenőrzéséről és a vevőkör részére történő továbbküldéséről is tartalmaz információkat. Végül pedig a fejezet példákon keresztül bemutatja a legalapvetőbb eljárásokat és az egyedi CSIRT-eszközöket. HU Oldalszám 44 HU

46 8.1 A vevőkör telepített alapeszközeinek felmérése Első lépésként át kell tekinteni, hogy a vevőkör milyen telepített informatikai rendszerekkel rendelkezik. Ennek felhasználásával a CSIRT ki tudja értékelni a bejövő információk relevanciáját, és meg tudja szűrni azokat a továbbküldés előtt annak érdekében, hogy a vevőket ne árasszák el számukra érdektelen információk. Bevált gyakorlat, hogy ezt először valamilyen egyszerű formában valósítják meg, például egy, az alábbihoz hasonló Excel munkafüzet használatával: Kategória Alkalmazás Szoftvert ermék Verzió Operációs rendszer Operáci ós rendsze r verziósz áma Asztali Irodai Excel x-x-x Microsoft XP-prof A Asztali Böngésző IE x-x- Microsoft XP-prof A Hálózat Útvonalvála CISCO x-x-x CISCO x-x-x- B sztó (router) Kiszolgáló Kiszolgáló Linux x-x-x Linux x-x-x B disztribúci ó Szolgáltatá sok Webkiszolg áló Apache Unix x-x-x B Vevő A Excel szűrőinek használatával rendkívül egyszerűen ki lehet választani a megfelelő szoftvert, és meg lehet nézni, hogy az egyes vevők milyen típusú szoftvert használnak. HU Oldalszám 45 HU

47 8.2 Riasztások, figyelmeztetések és bejelentések létrehozása A riasztások, figyelmeztetések és bejelentések létrehozása ugyanazon munkafolyamatok szerint történik: Információgyűjtés Az információk fontosság és forrás szerinti kiértékelése Kockázatbecslés az összegyűjtött információk alapján Az információk terjesztése 9. ábra Az információfeldolgozás menete A következőkben ennek a munkafolyamatnak a részletes leírását olvashatja. HU Oldalszám 46 HU

48 1. lépés: Sebezhetőségre vonatkozó információk gyűjtése. A szolgáltatások számára információt nyújtó források általában két nagy csoportba sorolhatók: Sebezhetőségi információk a (saját) IT-rendszerekről Incidensjelentések Az üzleti és az infomációtechnológiai infrastruktúra típusától függően számos nyilvános és zárt információforrás áll rendelkezésre a sebezhetőségről: nyilvános és zárt levelezőlisták a szoftverkiadótól a termék sebezhetőségéről kapott információk webhelyek az Interneten fellelhető (Google stb.) információk a sebezhetőségről információkat nyújtó, a köz- és magánszféra közötti partnerségek (FIRST, TF-CSIRT, CERT-CC, US-CERT stb.). HU Oldalszám 47 HU

49 Az összes így kapott információ hozzájárul az IT-rendszerek konkrét sebezhetőségéről szerzett ismeretek bővítéséhez. Amint korábban is említettük, az Interneten rengeteg jó és egyszerűen elérhető biztonsági információforrás áll rendelkezésre. Az ENISA CERT-szolgáltatásokkal foglalkozó ad hoc munkacsoportja e dokumentum írása idején egy átfogóbb évi lista összeállításán dolgozik, amely a tervek szerint 2006 végére készül el lépés: Az információk kiértékelése és a kockázat felmérése Ennek a lépésnek az eredményeként megkapjuk a vevőkör IT-infrastruktúrájában meglévő konkrét sebezhetőség hatásának az elemzését. Azonosítás A kapott sebezhetőségi információkat minden esetben a forrásuk szerint azonosítani kell, és az adott forrás megbízhatóságát is meg kell állapítani, mielőtt bármelyik onnan származó információt továbbítanák a vevőkörnek. Ellenkező esetben a vevők téves riasztást kaphatnának, ami az üzleti folyamatok szükségtelen megzavarásához, végső soron pedig a CSIRT hírnevének romlásához vezethet. 19 A CERT-szolgáltatásokkal foglalkozó ad hoc munkacsoport: HU Oldalszám 48 HU

50 Az alábbi eljárás egy üzenet eredetiségének ellenőrzését szemlélteti: Üzenetek és azok forrása eredetiségének ellenőrzésére szolgáló folyamat Általános ellenőrzőlista 1. Ismert-e a forrás, és ismertként is van-e nyilvántartva? 2. Az információ a szokásos csatornán keresztül érkezik-e? 3. Tartalmaz-e olyan furcsa információt, amely szokatlannak tűnik? 4. Kövesse a megérzéseit! Ha kétségei vannak az információt illetően, akkor ne reagáljon azonnal, hanem végezze el még egyszer az ellenőrzést. Források 1. A forráscím, amelyről az üzenet érkezett, ismert-e a szervezet előtt, és szerepel-e a forrásokat felsoroló listán? 2. Rendben van a PGP-aláírás? 3. Kétség esetén ellenőrizze az üzenet teljes fejlécét. 4. Ha kétségei vannak, ellenőrizze az nslookup vagy a dig paranccsal a feladó tartományának azonosságát 20. WWW Források 1. Amikor biztonságos webhelyhez ( csatlakozik, ellenőrizze a böngésző tanúsítványait. 2. Ellenőrizze a forrást tartalmi és érvényességi (technikai) szempontból. 3. Ha kétségei vannak, ne kattintson semmilyen hivatkozásra, és ne töltsön le semmilyen szoftvert. 4. Kétség esetén használja a lookup és a dig parancsot a tartományra vonatkozóan, majd hajtson végre útvonalkövetést (traceroute). Telefon 1. Figyeljen oda a névre. 2. Megismeri a telefonáló hangját? 3. Ha kétségei vannak, kérjen egy telefonszámot, és hívja vissza a telefonálót. Példa az információazonosítási eljárásra Fontosság A telepített hardverről és szoftverről korábban elkészített áttekintés felhasználható a beérkező sebezhetőségi információk fontossági szempontból elvégzett szűrésére, amelynek az a célja, hogy választ adjon a következő kérdésekre: Használja-e a vevőkör az adott szoftvert? és Vonatkozik-e rájuk az adott információ? Titkosítási besorolás A beérkező információk némelyike titkosként vagy korlátozott hozzáférésűként lehet jelölve (ilyenek lehetnek például a más csoportoktól érkező incidens-bejelentések). Minden információt a küldő elvárásainak és a saját információbiztonsági szabályzatnak megfelelően kell kezelni. Az aranyszabály a következő: Senki ne terjesszen olyan 20 Az azonosság ellenőrzésére szolgáló eszközök a CHIHT-nél: HU Oldalszám 49 HU

51 információt, amelynél nem egyértelmű, hogy arra szánták. Kétség esetén engedélyt kell kérni erre a feladótól." HU Oldalszám 50 HU

52 Kockázatértékelés és hatáselemzés Számos módszer áll rendelkezésre az (esetleges) sebezhetőségek kockázatának és hatásának megállapításához. A kockázat a definíció szerint a sebezhetőség kihasználhatóságának esetleges esélye. Számos fontos tényezőt kell figyelembe venni (többek között): Jól ismert sebezhetőségről van-e szó? Széles körben elterjedt-e az adott sebezhetőség? Könnyen kihasználható-e a sebezhetőség? A sebezhetőség távolról is kihasználható? Mindezek a kérdések jól érzékeltetik a sebezhetőség komolyságát. A kockázat kiszámításának egy rendkívül egyszerű módját adja meg a következő képlet: Hatás = Kockázat x az esetleges Kár Az esetleges kár lehet: illetéktelen hozzáférés az adatokhoz szolgáltatásmegtagadás (DoS) jogosultságok szerzése vagy kibővítése (A fejezet végén egy részletesebben kidolgozott osztályozási rendszert találhat.) E kérdések megválaszolása után ki lehet egészíteni a tanácsot egy átfogó besorolással, amely a potenciális kockázatról és kárról tájékoztat. Gyakran olyan egyszerű kifejezéseket használnak, mint ALACSONY, KÖZEPES vagy MAGAS. HU Oldalszám 51 HU

53 Más, ennél átfogóbb kockázatértékelési rendszerek is vannak: A GOVCERT.NL besorolási rendszer 21 A GOVCERT.NL, a holland kormányzati szektorban működő CSIRT még a Govcert.nl elindításának kezdeti fázisában kidolgozott egy mátrixot a kockázatok értékelésére, amelyet a mindenkori legújabb tendenciák beépítésével azóta is frissítenek. RISK Is the vulnarability widely known? No, limited 1 Yes, public 2 Is the vulnarability widely exploited? No 1 Yes 2 Is it easy to exploit the vulnerability? No, hacker 1 Yes, script kiddie 2 11,12 High Precondition: default configuration? No. specific 1 Yes, standard 2 8,9,10 Medium 0 Precondition: physical access required? Yes 1 No 2 6,7 Low Precondition: user account required? Yes 1 No 2 Damage Unauthorized access to data No 0 Yes, read 2 Yes, read + write 4 6 t/m 15 High DoS No 0 Yes, non-critical 1 Yes, critical 5 2 t/m 5 Medium 0 Permissions No 0 Yes, user 4 Yes, root 6 0,1 Low OVERALL High Remote root >> Imediately action needed! Local root exploit (attacker has a user account on the machine) Denial of Service Medium Remote user exploit >> Action within a week Remote unauthorized access to data Unauthorized obtaining data Local unauthorized access to data Low Local unauthorized obtaining user-rights >> Include it in general process Local user exploit 11. ábra A GOVCERT.NL besorolási rendszere EISPP közös tanácsformátum leírása 22 Az európai információbiztonsági támogató program az Európai Közösség által az 5. keretprogram keretében társfinanszírozott projekt. Az EISPP-projekt egy európai keretrendszer kifejlesztését tűzte ki célul, amely nemcsak a biztonsággal kapcsolatos tudás megosztását szolgálná, hanem az információ tartalmának, valamint a kis- és középvállalkozások közötti terjesztésének módját is meghatározná. Azzal, hogy az európai kis- és középvállalkozásokat ellátják a szükséges IT-biztonsági szolgáltatásokkal, egyben arra is ösztönzik őket, hogy bizalommal forduljanak az elektronikus kereskedelem felé, és aktívan használják azt, ezzel több és jobb lehetőséget teremtve az új üzleti vállalkozások számára. Az EISPP úttörő feladatot tölt be az Európai Bizottság azon elképzelésében, amely egy európai szakértői hálózat létrehozását tűzte ki célul az Európai Unióban. DAF (Deutsches Advisory Format) 23 A DAF a német CERT-Verbund kezdeményezése, és a különböző csoportok biztonsági tanácsainak létrehozását és cseréjét szolgáló infrastruktúra alapeleme. A DAF kifejezetten a német CERT-csoportok igényei szerint lett kialakítva. A szabványt a CERT-Bund, a DFN-CERT, a PRESECURE és a Siemens-CERT dolgozta ki és tartja karban. 21 Sebezhetőségi mátrix: 22 EISPP: 23 DAF: HU Oldalszám 52 HU

54 3. lépés: Az információk terjesztése A CSIRT-csoportok különböző terjesztési módszerek közül választhatnak a vevők kérésétől és a saját kommunikációs stratégiájuktól függően: webhely jelentések archiválás és kutatás. Az egy adott CSIRT által terjesztett biztonsági tanácsoknak mindig ugyanazt a szerkezetet kell követniük. Ez javítja az áttekinthetőségüket, és az olvasó is gyorsan megtalálja az összes számára fontos információt. A tanácsoknak legalább a következő információkat kell tartalmazniuk: A tanács címe Hivatkozási szám Érintett rendszerek - - Kapcsolódó operációs rendszer neve és verziószáma Kockázat (Magas-Közepes-Alacsony) Hatás/potenciális kár (Magas-Közepes-Alacsony) Külső azonosítók: (CVE, Sebezhetőségi értesítő azonosítói) A sebezhetőség áttekintése Hatás Megoldás Leírás (részletek) Függelék HU Oldalszám 53 HU

55 12. ábra Tanácsadási lap mintája A 10. Feladat c. fejezetben teljes példát találhat a biztonsági tanácsra. 8.3 Incidensek kezelése Ahogy e fejezet bevezetőjében említettük, az incidensek kezelése során végzett információkezelés folyamata nagymértékben hasonlít a riasztások, figyelmeztetések és bejelentések összeállítása során alkalmazott folyamatra. De az információgyűjtési rész általában eltér attól, mivel az incidensekhez kapcsolódó adatokat jellemzően vagy a vevőkörtől vagy más csoportoktól érkező incidens jelentések formájában, vagy pedig az incidenskezelési folyamat során az érintett felektől kapott visszajelzésekként kapjuk meg. Az információáramlás általában (titkosított) útján történik, de időnként telefon vagy fax használatára is szükség lehet. Telefonon érkező információk esetében bevált gyakorlat, hogy egy incidenskezelési/- bejelentési eszközzel vagy jegyzetek formájában azonnal lejegyzünk minden egyes adatot. Feltétlenül fontos, hogy azonnal (még a hívás befejezése előtt) meghatározzunk egy incidensszámot (amennyiben ehhez az incidenshez még nem rendeltek hozzá ilyet), és megadjuk azt a telefonos bejelentőnek (vagy egy később elküldött összefoglaló e- mailben), hogy a további kommunikáció során ezzel a hivatkozási számmal utaljon az incidensre. A fejezet további része az incidenskezelés alapszintű folyamatát írja le. A CERT/CC Incidenskezelési folyamatok meghatározása a CSIRT-ek számára (Defining Incident Management processes for CSIRTs) 24 c. dokumentumában rendkívül részletes elemzés olvasható az incidenskezelést és az összes érintett munkafolyamatot és almunkafolyamatot felölelő teljes folyamatról. 24 Defining Incident Management Processes (Incidenskezelési folyamatok meghatározása): HU Oldalszám 54 HU

56 Az incidenskezelés alapvetően a következő munkafolyamat szerint történik: 13. ábra Incidenskezelési folyamat HU Oldalszám 55 HU

57 1. lépés: Az incidens-bejelentések beérkezése Ahogy már említettük, az incidensekről szóló bejelentések több különböző csatornán is befuthatnak a CSIRT-csoporthoz. A többségük ben érkezik, időnként azonban előfordul, hogy telefont vagy faxot használnak a bejelentés megtételéhez. A korábban említettek szerint bevált gyakorlat, hogy az adatokat megadott formában rögzítik az incidens bejelentése közben. Ezzel biztosítható, hogy semmilyen döntő fontosságú információ ne vesszen el. Alább egy mintaűrlap látható: INCIDENSBEJELENTÉSI ŰRLAP Kérjük, töltse ki ezt az űrlapot, és továbbítsa faxon vagy ben a következő címzettnek:. A csillaggal (*) jelölt sorokat kötelező kitölteni. Név és szervezet 1. Név*: 2. A szervezet megnevezése*: 3. A szektor típusa: 4. Ország*: 5. Város: 6. cím*: 7. Telefonszám*: 8. Egyéb: Érintett gazdagép(ek) 9. A gazdagépek száma: 10. A gazdagép megnevezése és IP-címe*: 11. A gazdagép feladata*: 12. Időzóna: 13. Hardver: 14. Operációs rendszer: 15. Érintett szoftver: 16. Érintett fájlok: 17. Biztonság: 18. A gazdagép megnevezése és IP-címe: 19. Protokoll/port: Incidens 20. Hivatkozási szám (ref #): 21. Az incidens típusa: 22. Mikor kezdődött az incidens? 23. Ez egy folyamatban lévő/ismétlődő incidens? IGEN NEM 24. A felfedezés ideje és módszere: 25. Ismert sebezhetőségek: 26. Gyanús fájlok: 27. Ellenintézkedések: 28. Részletes leírás*: 14. ábra Az incidens-bejelentés tartalma HU Oldalszám 56 HU

58 2. lépés: Az incidens kiértékelése Ebben a lépésben ellenőrizzük a bejelentett incidens eredetiségét és relevanciáját, majd titkosítási besorolást rendelünk hozzá. Azonosítás A szükségtelen reagálás megelőzésére hasznos gyakorlatként bevezethető a bejelentő megbízhatóságának ellenőrzése és annak megvizsgálása, hogy a bejelentő a saját vagy valamelyik együttműködő CSIRT-csoport vevője-e. Erre is a 8.2 Riasztások létrehozása fejezetben leírtakhoz hasonló szabályok vonatkoznak. Relevancia Ebben a lépésben azt ellenőrzik, hogy a CSIRT vevőköréből érkezett-e az incidenskezelésre vonatkozó kérés, illetve hogy a bejelentett incidens kiterjed-e a vevőkör bármely informatikai rendszerére. Ha a fentiek egyike sem teljesül, a jelentést általában átirányítják az illetékes CSIRT-csoporthoz 25. Besorolás Ebben a lépésben történik az incidens súlyosságának besorolása és ezzel a prioritási sorrend meghatározása. E dokumentumnak nem célja az incidensek besorolásának részletes tárgyalása. Jó kiindulási pont lehet a CSIRT eset-besorolási rendszer (a példa a vállalati CSIRT-csoportok számára készült): 25 A CHIHT-nél megtalálható, az azonosság ellenőrzésére szolgáló eszközök: HU Oldalszám 57 HU

59 15. ábra Incidens-besorolási rendszer (forrás: FIRST) 26 Prioritási sorrend (triage) A prioritási sorrend rendszerét orvosok és mentősök alkalmazzák a korlátozott orvosi erőforrások beosztására olyan esetekben, amikor az ellátást igénylő sérültek száma nagyobb annál, mint amennyit a rendelkezésre álló erőforrásokkal el lehet látni. Ez a prioritási rendszer lehetővé teszi, hogy az adott körülmények között a lehető legtöbb beteg ellátást kapjon 27. A CERT/CC a következő leírást adja: A prioritási sorrend nélkülözhetetlen eleme minden incidenskezelési képességnek, és különösen az a már működő CSIRT-csoportok esetében. A prioritási sorrend kulcsfontosságú a szervezet egészéből folyamatosan érkező bejelentések értelmezéséhez. Olyan közvetítő elemként szolgál, amely révén minden információ egyetlen kapcsolattartási pontba áramlik, lehetővé téve ezzel a folyamatban lévő tevékenységeknek a vállalati szintű áttekintését és a bejelentett információk átfogó összevetését. A prioritási sorrend lehetőséget ad a beérkező bejelentések elsődleges felmérésére, és a további kezelésnek megfelelően besorolja azokat a várakozósorba. Ugyanakkor a bejelentések és kérések kezdeti dokumentációjának és az adatok bevitelének elkezdésére is lehetőséget biztosít, feltéve, hogy az nem történt meg az észlelési folyamatban. A prioritási sorrend funkció azonnali pillanatképet ad a jelentett tevékenységek aktuális státusáról: milyen jelentések vannak nyitva és lezárva, milyen tevékenységek vannak függőben, továbbá típus szerinti bontásban megadja az adott pillanatig beérkezett jelentések számát. Ez a folyamat segíthet a potenciális biztonsági problémák azonosításában és a munkaterhelés optimalizálásában. A prioritási sorrend keretében gyűjtött információk felhasználhatók sebezhetőségi és incidenstendenciák összeállításához, valamint a felsővezetőknek szóló statisztikák elkészítéséhez 28. A prioritási sorrend megállapítását csak a legtapasztaltabb csoporttagok végezhetik, mert alkalmazása az incidensek által a vevőkör konkrét részeire gyakorolt potenciális hatások mélyreható ismeretét igényli, valamint azt is el kell tudni dönteni, hogy az adott incidens kezelésére a csoport melyik tagja a legalkalmasabb. 26 CSIRT Case Classification (CSIRT esetbesorolás): 27 A Wikipédia prioritási sorrendről szóló lapja: 28 Defining Incident Management Processes (Incidenskezelési folyamatok meghatározása): HU Oldalszám 58 HU

60 3. lépés: Tevékenységek A prioritási sorrend rendszerével feldolgozott incidensek általában egy olyan incidenskezelési eszközben nyilvántartott, kéréseket tartalmazó várakozósorba kerülnek, amelyet akár több, alapvetően ezeket a lépéseket követő incidenskezelő is használhat. Incidensjegy indítása Előfordulhat, hogy az incidensjegy számát már előállították valamelyik korábbi lépésben (például ha az incidenst telefonon jelentették be). Ha nem, az első lépésben elő kell állítani ezt a számot, amelyet azután minden erre az incidensre vonatkozó későbbi közlésben használni fogunk. Az incidens életciklusa Az incidensek kezelése nem egyetlen, végül a megoldáshoz vezető lineáris lépéssorozat mentén történik, hanem lépések körkörösen felépülő sorozatából áll, amelyeket addig kell ismételni, amíg nem sikerül megoldani az incidenst, és az összes érintett félnek rendelkezésre nem állnak a szükséges információk. Ez a kör, amelyre gyakran az incidens életciklusaként hivatkozunk, a következő folyamatokat foglalja magában: Elemzés: Kapcsolattartási információ megszerzése: A bejelentett incidens összes adata elemzésre kerül. Ahhoz, hogy továbbra is jelenteni lehessen az incidensre vonatkozó információkat az összes érintett fél, például a többi CSIRT, az áldozatok és azon rendszerek tulajdonosai számára, amelyekkel esetleg visszaéltek egy támadás során. Technikai segítségnyújtás: Segítségnyújtás az áldozatok részére az incidens következményeiből való gyors helyreállítás és a támadással kapcsolatos további információk gyűjtése érdekében. Koordináció: További érintett felek, például a támadáshoz felhasznált informatikai rendszerekért felelős CSIRT-csoportok vagy más áldozatok tájékoztatása. Ezt a struktúrát azért hívják életciklusnak, mert az egyik lépés elvégzése elvezet a következő lépéshez, míg az utolsó lépés, a koordinációs rész esetleg ismét egy újabb elemzéshez vezet, és ekkor a ciklus újrakezdődik. A folyamat akkor ér véget, amikor az összes érintett fél megkapta és jelentette az összes szükséges információt. Az incidensek életciklusáról részletesebb leírást találhat a CERT/CC CSIRTkézikönyvében 29. Incidenskezelési jelentés 29 CSIRT-kézikönyv: HU Oldalszám 59 HU

61 A vezetőség incidensekre vonatkozó kérdéseire egy jelentés összeállításával kell felkészülni. Ugyancsak bevált gyakorlat, hogy egy (csak belső használatra szánt) dokumentumot írnak a szerzett tapasztalatokról abból a célból, hogy a munkatársak tanuljanak belőle, és elkerüljék az elkövetett hibákat a későbbi incidenskezelési folyamatok során. Archiválás Olvassa el a 6.6 Az információbiztonsági szabályzat kidolgozása fejezetben leírt archiválási szabályokat. Az incidenskezelésre és az incidensek életciklusára vonatkozóan átfogó útmutatót találhat a melléklet A.1 További szakirodalom részében. 8.4 Példa a válaszidőket tartalmazó ütemtervre Gyakran figyelmen kívül hagyják a válaszidők meghatározását, pedig annak minden, a CSIRT és a vevőköre között létrejött, jól megszerkesztett szolgáltatási szint szerződésben (SLA) szerepelnie kell. Az incidenskezelés során a vevőknek időben nyújtott visszajelzés döntő szerepet játszik a vevők saját kötelezettségei tekintetében, csakúgy, mint a csoport jó híre szempontjából. A félreértések elkerülése érdekében a válaszidőket egyértelmű formában kell közölni a vevőkörrel. A következő meglehetősen egyszerű ütemterv kiindulási alapként használható egy CSIRT vevőkörével kötendő szolgáltatási szint szerződés részletesebb kidolgozásához. Példa egy gyakorlati alapokon nyugvó válaszidő-ütemtervre, a bejövő segítségkérés szempontjából: 16. ábra Példa a válaszidő-ütemtervre Ugyancsak bevált gyakorlat útmutatást adni a vevőknek a saját válaszidejüket illetően, különösen arra vonatkozóan, hogy egy vészhelyzet esetén mikor lépjenek kapcsolatba a CSIRT-csoporttal. A legtöbb esetben jobb, ha már korai stádiumban kapcsolatba lépnek a CSIRT-csoporttal, és bevált gyakorlat arra biztatni a vevőket, hogy kétség esetén azonnal cselekedjenek így. HU Oldalszám 60 HU

62 8.5 A rendelkezésre álló CSIRT-eszközök Ez az fejezet a CSIRT-csoportok által általánosan használt eszközökre mutató hivatkozásokat tartalmazza. Itt csak példaként soroltuk fel ezeket. További eszközökre mutató hivatkozások találhatók a Clearing House of Incident Handling Tools (Incidenskezelő eszközök klíringháza CHIHT) honlapján és üzenettitkosító szoftverek GNUPG A GnuPG az RFC2440-ben meghatározott OpenPGP szabvány GNU projekt által elkészített teljes körű és ingyenes megvalósítása. A GnuPG lehetővé teszi az adatok és a kommunikáció titkosítását és aláírását. PGP Kereskedelmi változat Incidenskezelő eszköz Adminisztratív incidensek és azok nyomon követése, a tevékenységek nyilvántartása. RTIR Az RTIR egy kifejezetten a CERT és más incidenskezelő csoportok igényeinek szem előtt tartásával kidolgozott ingyenes, nyílt forráskódú incidenskezelő rendszer. CRM-eszközök Ha a CSIRT sok különböző vevővel rendelkezik, és szükség van az összes találkozó és részlet visszakövethetőségére, nagy segítséget jelenthet a CRM-adatbázisok használata. Ezekből számos eltérő változat létezik. Íme, néhány ezek közül: SugarCRM Sugarforce (ingyenes, nyílt forráskódú verzió) Információ-ellenőrzés Website watcher Ez a program webhelyek frissítését és módosítását követi nyomon. Watch that page A szolgáltatás ben küld értesítést a webhelyeken bekövetkezett változásokról (ingyenes és kereskedelmi verziója is létezik). 30 CHIHT: HU Oldalszám 61 HU

63 Kapcsolattartási információ keresése Nem egyszerű feladat az incidensek jelentéséhez a megfelelő kapcsolattartó megtalálása. Több használható információforrás is létezik erre a célra: RIPE 31 IRT-objektum 32 TI 33 Ezeken kívül, a CHIHT további eszközöket is felsorol a kapcsolattartási információk kereséséhez 34. Képzeletbeli CSIRT (8. lépés) A folyamatok menetének, valamint az üzemeltetési és a technikai eljárásoknak a kialakítása A képzeletbeli CSIRT a következő alapvető CSIRT-szolgáltatások nyújtására koncentrál: Riasztások és figyelmeztetések Bejelentések Incidenskezelés A csoport jól működő és mindegyik csoporttag számára könnyen érthető eljárásokat dolgozott ki. A képzeletbeli CSIRT egy jogi szakembert is felvett a kötelezettségekkel és az információbiztonsági szabályzattal összefüggő ügyek kezelésére. A csoport beszerzett néhány hasznos eszközt, és más CSIRT-csoportokkal folytatott megbeszélések során fontos információkat szereztek az üzemeltetési kérdésekkel kapcsolatban. A biztonsági tanácsokhoz és az incidensek bejelentéséhez elkészítettek egy rögzített tartalmú sablont. A csoport RTIR-rendszert használ az incidensek kezeléséhez. 31 RIPE Ki Kicsoda : 32 IRT-objektum a RIPE-adatbázisban: 33 Trusted Introducer (Megbízható bemutató): 34 A CHIHT-nél megtalálható, az azonosság ellenőrzésére szolgáló eszközök: HU Oldalszám 62 HU

64 9. CSIRT-képzés Eddig a következő lépéseket tettük meg: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? 4. A környezet és a vevőkör elemzése 5. A küldetésnyilatkozat meghatározása 6. Az üzleti terv kidolgozása a. A pénzügyi modell meghatározása b. A szervezeti felépítés meghatározása c. A munkatársak felvételének elkezdése d. Az iroda használatbavétele és berendezése e. Az információbiztonsági szabályzat kidolgozása f. Együttműködő partnerek keresése 7. Az üzleti terv továbbfejlesztése a. Az üzleti terv jóváhagyásának elérése b. A különböző elemek projekttervvé történő összeállítása 8. A CSIRT működőképessé tétele a. Munkafolyamatok létrehozása b. CSIRT-eszközök végrehajtása >> A következő lépés: a munkatársak kiképzése Ez a fejezet a speciális CSIRT-képzés két legfontosabb lehetőségéről szól: a TRANSITS és a CERT/CC tanfolyamokról. 9.1 TRANSITS A TRANSITS az új CSIRT-csoportok létrehozását és a már létező CSIRT-csoportok bővítését támogató európai projekt, amely a képzett CSIRT-munkatársak hiányának orvoslásával igyekszik elérni a célját. Ennek érdekében speciális tanfolyamokat biztosítanak a(z új) CSIRT-csoportok munkatársainak a CSIRT-szolgáltatások nyújtásával összefüggő szervezeti, üzemeltetési, technikai, piaci és jogi kérdésekkel kapcsolatban. Konkrétan a TRANSITS kidolgozta, frissíti és rendszeresen átdolgozza a moduláris felépítésű tanfolyami anyagokat; oktatási műhelyeket szervez, ahol ezeket a tanfolyami anyagokat oktatják; lehetővé teszi a(z új) CSIRT-csoportok munkatársai számára a részvételt ezekben a műhelymunkákban, külön hangsúlyt fektetve az Európai Unió új tagállamaiban dolgozó munkatársak részvételére; szétosztotta a tanfolyami anyagokat és biztosította az eredmények hasznosítását TRANSITS: HU Oldalszám 63 HU

65 Az ENISA is elősegíti és támogatja a TRANSITS-tanfolyamokat. Ha kíváncsi arra, hogyan lehet jelentkezni a tanfolyamokra, milyen követelményeknek kell megfelelni, és milyen költségekkel kell számolni, kérjük lépjen kapcsolatba az ENISA CSIRT szakértőivel: CERT-Relations@enisa.europa.eu E dokumentum mellékletében tanfolyami mintaanyagot találhat. 9.2 CERT/CC A számítógépes és hálózati infrastruktúrák összetettsége és az adminisztrációs kihívások megnehezítették a hálózatbiztonság megfelelő kezelését. A hálózatok és a rendszerek rendszergazdái nem rendelkeznek elég emberrel és biztonsági gyakorlattal a támadásokkal szembeni védekezéshez és a károk minimalizálásához. Ennek következtében nő a számítógépes biztonsági incidensek száma. Számítógépes biztonsági incidensek bekövetkezte esetén a szervezeteknek gyorsan és hatékonyan kell reagálniuk. Minél gyorsabb egy szervezet az incidensek felismerésében, elemzésében és a rájuk adott válaszintézkedések végrehajtásában, annál jobban tudja korlátozni a károk kiterjedését és csökkenteni a helyreállítási költségeket. Egy számítógép-biztonsági incidenskezelő csoport (CSIRT) felállítása kitűnő módszer ennek a gyors reagálási képességnek a biztosításához, és egyben segít a későbbi incidensek megelőzésében is. A CERT-CC menedzsereknek és műszaki munkatársaknak kínál tanfolyamokat a számítógép-biztonsági incidenskezelő csoportok (CSIRT-csoportok) létrehozása és irányítása, a biztonsági incidensekre adott válaszlépések és az incidensek elemzése, valamint a hálózatbiztonság javítása terén. Ha másképpen nincs jelezve, az összes tanfolyamot a Pennsylvania állambeli Pittsburghben tartják. Munkatársaink közül többen tartanak biztonsági tanfolyamokat a Carnegie Mellon University-n is. Kifejezetten CSIRT-csoportok részére összeállított CERT/CC-tanfolyamok 36 Creating a Computer Security Incident Response Team (CSIRT) Számítógépbiztonsági incidenskezelő csoport (CSIRT) létrehozása Managing Computer Security Incident Response Teams (CSIRTs) Számítógépbiztonsági incidenskezelő csoportok (CSIRT-csoportok) irányítása Fundamentals of Incident Handling Az incidenskezelés alapjai Advanced Incident Handling for Technical Staff Emelt szintű incidenskezelés műszaki munkatársak részére E dokumentum mellékletében tanfolyami mintaanyagot találhat. Képzeletbeli CSIRT (9. lépés) 36 CERT/CC-tanfolyamok: HU Oldalszám 64 HU

66 A munkatársak kiképzése A képzeletbeli CSIRT úgy dönt, hogy összes műszaki munkatársát elküldi a legközelebbi elérhető TRANSITS-tanfolyamokra. A csoportvezető ezenkívül elvégzi a CERT/CC Managing a CSIRT (CSIRT irányítása) tanfolyamát is. HU Oldalszám 65 HU

67 10. Feladat: tanács elkészítése Eddig a következő lépéseket tettük meg: 1. A CSIRT lényegének és az általa nyújtható előnyöknek a megértése. 2. Melyik szektornak fog az új csoport szolgáltatásokat nyújtani? 3. Milyen típusú szolgáltatásokat tud nyújtani a CSIRT a vevőkörének? 4. A környezet és a vevőkör elemzése 5. A küldetésnyilatkozat meghatározása 6. Az üzleti terv kidolgozása a. A pénzügyi modell meghatározása b. A szervezeti felépítés meghatározása c. A munkatársak felvételének elkezdése d. Az iroda használatbavétele és berendezése e. Az információbiztonsági szabályzat kidolgozása f. Együttműködő partnerek keresése 7. Az üzleti terv továbbfejlesztése a. Az üzleti terv jóváhagyásának elérése b. A különböző elemek projekttervvé történő összeállítása 8. A CSIRT működőképessé tétele a. Munkafolyamatok létrehozása b. CSIRT-eszközök végrehajtása 9. A munkatársak kiképzése >> A következő lépés a gyakorlás és a felkészülés a tényleges munkára. E fejezet szemléltetésképpen egy mindennapi CSIRT-feladatra, egy biztonsági tanács elkészítésére mutat be példát. Az előzmény a Microsoft által kiküldött alábbi eredeti biztonsági tanács volt: Értesítés azonosítója Értesítés címe Vezetői összefoglaló Legmagasabb súlyossági fokozat A sebezhetőség hatása Érintett szoftver MS Microsoft biztonsági értesítés Összesítő biztonsági frissítés az Internet Explorer-hez (918899) Ez a frissítés több olyan sebezhetőséget megszüntet az Internet Explorer-ben, amelyek eddig lehetővé tették kódok távoli végrehajtását. Kritikus Távoli kódvégrehajtás Windows, Internet Explorer. További információt találhat az Érintett szoftverek és a Letöltési helyek résznél. HU Oldalszám 66 HU

68 Ez a szoftverkiadói értesítés egy, az Internet Explorer-ben frissen talált sebezhetőségről szól. A szoftverkiadó több javítást tesz közzé a Microsoft Windows különböző verzióin futatott szoftverhez. Miután egy levelezőlistán keresztül megkapta ezt a sebezhetőségről szóló információt, a képzeletbeli CSIRT a 8.2 Riasztások, figyelmeztetések és bejelentések létrehozása fejezetben leírt munkafolyamat szerint elindítja a feldolgozását. 1. lépés: Sebezhetőségre vonatkozó információk gyűjtése. Az első lépés a szoftverkiadó webhelyének böngészése. A képzeletbeli CSIRT ellenőrzi az információ eredetiségét, és további adatokat gyűjt a sebezhetőségről és az érintett informatikai rendszerekről. HU Oldalszám 67 HU

69 2. lépés: Az információk kiértékelése és a kockázat felmérése Azonosítás Az információ ellenőrzése már megtörtént azzal, hogy a sebezhetőségre vonatkozó, ben érkezett információt egybevetették a kiadó webhelyén található szöveggel. Relevancia A képzeletbeli CSIRT összeveti az érintett rendszerek webhelyen talált listáját a vevőkörében használt rendszerek listájával. Az összevetés eredménye azt mutatja, hogy vevői közül legalább egy Internet Explorer-t használ, így a sebezhetőségi információ valóban releváns. Kategóri a Alkalmazá s Szoftvert ermék Verzió Operáció s rendszer Operáci ós rendsz er verziós záma Asztali Böngésző IE x-x- Microsoft XP-prof A Titkosítási besorolás Az információ nyilvános, így felhasználható és tovább terjeszthető. Vevő Kockázatértékelés és hatásvizsgálat A kérdésekre adott válaszok azt mutatják, hogy a kockázat és a hatás is magas (a Microsoft minősítése: kritikus). KOCKÁZAT Jól ismert sebezhetőségről van szó? Széles körben elterjedt az adott sebezhetőség? Könnyen kihasználható a sebezhetőség? A sebezhetőség távolról is kihasználható? I I I I KÁR A lehetséges hatások: távoli elérhetőség és esetlegesen távoli kódvégrehajtás. Ez a sebezhetőség több problémát is magában foglal, amelyek miatt a kár kockázata magas. HU Oldalszám 68 HU

70 3. lépés: Terjesztés A képzeletbeli CSIRT egy belső CSIRT. Kommunikációs csatornaként , telefon és a belső webhely áll rendelkezésére. A CSIRT ezt a tanácsot a 8.2 Riasztások, figyelmeztetések és bejelentések fejezetben található sablon alapján készíti el. Tanács címe Több sebezhetőséget találtak az Internet Explorer-ben Hivatkozási szám Érintett rendszerek Minden Microsoft operációs rendszert futtató asztali rendszer Kapcsolódó operációs rendszer neve és verziószáma Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 1 és Microsoft Windows XP Service Pack 2 Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 és Microsoft Windows Server 2003 Service Pack 1 Microsoft Windows Server 2003 for Itanium-based Systems és Microsoft Windows Server 2003 with SP1 for Itanium-based Systems Microsoft Windows Server 2003 x64 Edition Kockázat MAGAS Hatás/potenciális kár MAGAS Külső azonosítók: MS (Magas-Közepes-Alacsony) (Magas-Közepes-Alacsony) (CVE, Sebezhetőségi értesítő azonosítói) A sebezhetőség áttekintése A Microsoft több olyan kritikus sebezhetőséget fedezett fel az Internet Explorer-ben, amelyek távoli kód végrehajtását is lehetővé teszik. Hatás Egy esetleges támadó teljesen az irányítása alá vonhatja a megtámadott rendszert, programokat telepíthet, új felhasználókat adhat a rendszerhez, módosíthatja és törölheti az adatokat. A kockázatot csökkenti az a tényező, hogy a fentiek csak abban az esetben történhetnek meg, ha a felhasználó rendszergazdai jogosultságokkal van bejelentkezve a rendszerbe. Az ennél alacsonyabb jogosultsággal bejelentkezett felhasználók esetében a hatások enyhébbek. Megoldás Azonnal futassa az IE javítóprogramját. Leírás (részletek) További információt találhat a következő weblapon: ms mspx Függelék További információt találhat a következő weblapon: ms mspx HU Oldalszám 69 HU

71 Az űrlap így már kiküldhető. Mivel kritikus értesítőről van szó, telefonon is ajánlott figyelmeztetni a vevőket, ha van erre lehetőség. Képzeletbeli CSIRT (10. lépés) Gyakorlás Működésének első heteiben a képzeletbeli CSIRT számos kitalált (más CSIRTcsoporttól mintaként kapott) esetet használt gyakorlási célokra. Ezenkívül kiadtak néhány, hardverforgalmazók és szoftverkiadók által terjesztett valódi sebezhetőségi információn alapuló, de saját vevőkörük igényeihez igazított biztonsági tanácsot. HU Oldalszám 70 HU

72 11. Következtetések Elértük az útmutató végét. A jelen dokumentum elkészítésekor az a szándék vezetett minket, hogy egy rendkívül tömör áttekintést adjunk egy CSIRT létrehozásához szükséges különböző folyamatokról. A dokumentum nem próbál meg teljes körű lenni, sem a konkrét részletekbe nem megy túl mélyen bele. A melléklet A.1 További szakirodalom c. részében az adott témakörre vonatkozó további dokumentumokat talál, amelyeket érdemes elolvasni. A képzeletbeli CSIRT ezt követő fontos lépései a következők lennének: Visszajelzés a vevőkörtől a nyújtott szolgáltatások finomhangolásához A napi munkarutin megszerzése Vészhelyzetek gyakorlása Szoros kapcsolat fenntartása a különböző CSIRT-közösségekkel abból a célból, hogy egy napon majd hozzá tudjon járulni azok önkéntes munkájához. HU Oldalszám 71 HU

73 12. A projektterv leírása MEGJEGYZÉS: A projektterv az első becslés a szükséges időre vonatkozóan. A rendelkezésre álló erőforrásoktól függően a projekt tényleges időtartama ettől eltérhet. A projektterv különböző formátumokban elérhető CD-n és az ENISA webhelyén. A projektterv teljes egészében tartalmazza az ebben a dokumentumban leírt folyamatokat. Az elsődleges formátum a Microsoft Project által használt formátum, így közvetlenül használható ezzel a projektirányítási eszközzel. 17. ábra Projektterv HU Oldalszám 72 HU

74 18. ábra A projektterv a feladatokkal és a Gantt-diagram egyik részletével A projektterv CVS- és XML-formátumban is elérhető. További felhasználása az ENISA CSIRT-szakértőitől igényelhető: CERT-Relations@enisa.europa.eu HU Oldalszám 73 HU

75 MELLÉKLET A.1 További szakirodalom Handbook for CSIRTs (Kézikönyv CSIRT-ek számára) (CERT/CC) Egy rendkívül átfogó referenciamunka, amely magában foglalja a CSIRT munkájához kapcsolódó összes témakört. Forrás: Defining Incident Management Processes for CSIRTs: A Work in Progress (Incidenskezelési folyamatok meghatározása a CSIRT-ek számára: Folyamatban lévő munka) Rendkívül részletes elemzés az incidenskezelésről. Forrás: State of the Practice of Computer Security Incident Response Teams (CSIRTs) (A CSIRT-csoportok gyakorlatainak helyzete) Átfogó elemzés a CSIRT világszintű elterjedésének aktuális helyzetéről, amely történelmi előzményeket, statisztikákat és még sok minden mást is tartalmaz. Forrás: CERT-in-a-box Átfogó leírás a GOVCERT.NL és a De Waarschuwingsdienst, a holland nemzeti riasztási szolgálat létrehozása során szerzett tapasztalatokról. Forrás: RFC 2350: Expectations for Computer Security Incident Response (Elvárások a számítógép-biztonsági incidenskezeléssel kapcsolatban) Forrás: NIST 37 Computer Security Incident Handling Guide (Számítógép-biztonsági incidenskezelési útmutató) Forrás: ENISA Inventory of CERT activities in Europe (Európai CERT-tevékenységek nyilvántartása) Referenciamunka, amely az Európában működő CSIRT-csoportokról és azok különféle tevékenységeiről tartalmaz információkat. Forrás: 37 NIST: National Institute of Standards and Technologies (Nemzeti Szabványügyi és Technológiai Intézet) HU Oldalszám 74 HU

76 A.2 CSIRT-szolgáltatások Külön köszönjük a CERT/CC-nek, hogy rendelkezésünkre bocsátotta az alábbi listát. Válaszintézkedésként nyújtott szolgáltatások Riasztások és figyelmeztetések Incidenskezelés Incidenselemzés Incidenssel kapcsolatos helyszíni válaszintézkedések Incidenssel kapcsolatos válaszintézkedések támogatása Incidenssel kapcsolatos válaszintézkedések koordinálása Sebezhetőség kezelése Sebezhetőség elemzése Sebezhetőséggel kapcsolatos válaszintézkedések Sebezhetőséggel kapcsolatos válaszintézkedések koordinálása Megelőző szolgáltatások Torzulások kezelése Bejelentések Technológia figyelés Biztonsági ellenőrzések és felmérések A biztonsági konfiguráció beállítása és karbantartása Biztonsági eszközök fejlesztése Behatolásérzékelési szolgáltatások Biztonsággal kapcsolatos információk terjesztése 19. ábra A CSIRT-szolgáltatások listája a CERT/CC-től Torzulások elemzése Torzulásokkal kapcsolatos intézkedések Torzulásokkal kapcsolatos intézkedések koordinálása A biztonsági minőségirányítás Kockázatelemzés Üzletmenetfolytonosság és katasztrófa utáni visszaállítás Biztonsági tanácsadás A tudatosság növelése Oktatás/képzés Termék kiértékelése vagy tanúsítása A szolgáltatások leírása Válaszintézkedésként nyújtott szolgáltatások A válaszintézkedésként nyújtott szolgáltatásoknak az a célja, hogy a CSIRT vevőköréből érkező segítségkérésekre és incidensjelentésekre, valamint a CSIRT rendszerekkel szembeni bármilyen fenyegetésre vagy támadásra reagálni lehessen. Egyes szolgáltatások harmadik fél értesítése, nyomon követés/monitorozás, illetve IDS naplók és riasztások alapján is elindíthatók. Riasztások és figyelmeztetések Ebbe a szolgáltatásba beletartozik a behatolási szándékú támadásról, biztonsági sebezhetőségről, behatolási riasztásról, számítógépes vírusról vagy álriasztásokról szóló információk terjesztése, és rövid távra szóló cselekvési javaslat nyújtása a jelentkező

77 probléma kezelésére. Az aktuális problémára adott válaszintézkedésként kiküldésre kerül egy riasztás, figyelmeztetés vagy tanács, amely értesíti a vevőket az adott helyzetről, és útmutatást nyújt a számukra rendszereik megvédéséhez, illetve az esetlegesen érintett rendszerek visszaállításához. Az információ a CSIRT-csoporttól is kiindulhat, de lehet a szoftverkiadóktól, más CSIRT-csoportoktól vagy biztonsági szakemberektől, illetve a vevőkör más tagjaitól származó információk továbbküldött változata is. Incidenskezelés Az incidenskezelésbe beletartozik a kérések és jelentések fogadása, prioritási sorrendek szerinti feldolgozása és a rájuk adott válaszok, valamint az incidensek és események elemzése. A konkrét válaszintézkedések kiterjedhetnek a következőkre: a behatoló tevékenysége által érintett vagy fenyegetett rendszerek és hálózatok védelme érdekében tett lépések; megoldások és a káros hatásokat csökkentő stratégiák nyújtása kapcsolódó tanácsok és riasztások alapján; behatolásra utaló nyomok keresése a hálózat más részeiben; a hálózati forgalom szűrése; rendszerek visszaállítása; rendszerek javítóprogramokkal és más módon történő javítása; további válaszintézkedési és pótmegoldásokat tartalmazó stratégiák kidolgozása. Mivel a különböző típusú CSIRT-csoportok eltérő módokon valósítják meg az incidenskezelési tevékenységeket, ezt a szolgáltatást az alábbiak szerint további kategóriákra lehet bontani az elvégzett tevékenységek és a nyújtott segítség típusa alapján: Incidenselemzés Az incidenselemzésnek sok szintje és alszolgáltatása van. Az incidenselemzés alapvetően az incidenshez vagy az eseményhez kapcsolódó összes rendelkezésre álló információ és támogatási bizonyíték vagy torzulás vizsgálatát jelenti. Az elemzésnek az a célja, hogy felderítse az incidens hatókörét, az incidens által okozott kár kiterjedését, az incidens jellegét, és meghatározza a rendelkezésre álló válaszintézkedési stratégiákat, illetve az alkalmazható pótmegoldásokat. Az adott rendszeren lezajlott események legteljesebb és legnaprakészebb elemzésének értelmezéséhez és biztosításához a CSIRT a (lentebb leírt) sebezhetőség- és torzuláselemzés eredményeit is felhasználhatja. A CSIRT összeveti a különböző incidensekkel kapcsolatos tevékenységeket az esetleges közös vonások, tendenciák, minták vagy adott behatolóra utaló nyomok megállapítása céljából. Az incidenselemzés részeként a következő két alszolgáltatás áll rendelkezésre, amelyek alkalmazására a CSIRT küldetésétől, céljaitól és folyamataitól függően kerülhet sor: Bírósági bizonyítékok gyűjtése Az elektronikus betörés áldozatául esett számítógéprendszeren talált bizonyítékok összegyűjtése, megőrzése, dokumentálása és elemzése a rendszeren végrehajtott módosítások megállapítása és a védelem kudarcához vezető események rekonstrukciójának elősegítése céljából. Ezt az információ- és bizonyítékgyűjtést úgy kell lefolytatni, hogy az a bizonyítási szabályok szerint a bíróság számára elfogadható Oldalszám: 2

78 módon dokumentálja a rendszerfelügyeletben bizonyíthatóan bekövetkezett változásokat. A törvényszéki bizonyítékok gyűjtéséhez tartozó feladatok (a teljesség igénye nélkül): bitpontos képfájl készítése az érintett rendszer merevlemezéről; a rendszerben bekövetkezett változások, például új programok, fájlok, szolgáltatások vagy felhasználók megjelenésének ellenőrzése; a futó folyamatok és a nyitott portok vizsgálata, valamint trójai programok és rootkit (a hacker által a következő betörés megkönnyítésére hátrahagyott) eszközök jelenlétének ellenőrzése. Az ezt a feladatot elvégző CSIRT-munkatársnak arra is készen kell állnia, hogy a bíróságon szakértő tanúként meghallgathatják. Nyomon követés vagy visszakövetés A behatoló kiindulási pontjának visszakövetése, illetve azoknak a rendszereknek a felderítése, amelyekhez a behatolónak hozzáférése volt. Ebbe a tevékenységbe beletartozhat annak nyomon követése, illetve visszakövetése, hogy a behatoló hogyan jutott be az érintett rendszerekbe és a kapcsolódó hálózatokba, milyen rendszereket használt a hozzáférés megszerzéséhez, honnan indult a támadás, és a támadás részeként milyen egyéb rendszereket és hálózatokat használt. Esetleg arra is kiterjedhet, hogy megpróbálja beazonosítani a behatolót. Ez a munka önállóan is végezhető, de általában a rendőrség munkatársaival, az internetszolgáltatókkal és más érintett szervezetekkel közösen végzett feladatok is a részét képezik. Oldalszám: 3

79 Incidenssel kapcsolatos helyszíni válaszintézkedések A CSIRT közvetlen helyszíni segítséget is nyújt, hogy támogassa ezzel a vevők incidenst követő helyreállítási tevékenységét. A CSIRT saját maga végzi az érintett rendszerek fizikai elemzését, a rendszerek javítását és helyreállítását, és nem pusztán telefonon vagy ben nyújt támogatást az incidensekre adott válaszintézkedéseket illetően (lásd lentebb). Ebbe a szolgáltatásba beletartozik minden olyan helyi szinten végzett tevékenység, amelyet incidens gyanúja vagy bekövetkezte esetén el kell végezni. Amennyiben a CSIRT nem az érintett helyszínen található, a csoport tagjai kiszállnak a helyszínre, és elvégzik a válaszintézkedéseket. Más esetekben előfordulhat, hogy a helyi csoport már a helyszínen van, és a napi munkája részeként hajt végre incidenssel kapcsolatos válaszintézkedéseket. Ez különösen akkor igaz, ha az incidensek kezelését egy már működő CSIRT helyett rendszergazdák, illetve hálózati vagy biztonsági rendszergazdák látják el normál munkaköri feladataik részeként. Incidenssel kapcsolatos válaszintézkedések támogatása A CSIRT telefonon, ben, faxon és dokumentumokkal segítséget és útmutatást ad a támadás áldozatának/áldozatainak az incidens utáni helyreállításhoz. Ebbe beletartozhat az összegyűjtött adatok értelmezéséhez nyújtott technikai segítség, a kapcsolattartási információk biztosítása vagy a kárcsökkentési és a helyreállítási stratégiákra vonatkozó útmutatások továbbítása. Nem tartalmazza viszont azokat az incidensekre adott közvetlen helyszíni válaszintézkedéseket, amelyeket fentebb írtunk le. A CSIRT ehelyett távoli útmutatást nyújt, ami alapján a helyszíni személyzet saját maga is el tudja végezni a visszaállítást. Incidenssel kapcsolatos válaszintézkedések koordinálása A CSIRT koordinálja az incidensben érintett felek válaszintézkedésekkel kapcsolatos tevékenységeit. Ebbe általában beletartozik a támadás áldozata, a támadás által érintett egyéb helyszínek, és minden olyan helyszín, amely a támadás elemzéséhez segítséget kér. A szolgáltatás az áldozatnak informatikai támogatást nyújtó felekre, például az internet-szolgáltatókra, más CSIRT-csoportokra, valamint a helyszínen dolgozó rendszergazdákra és hálózati rendszergazdákra is kiterjedhet. A koordinációs munka magába foglalhatja a kapcsolattartási információk gyűjtését, a helyszínek értesítését esetleges érintettségükről (mint áldozat vagy mint a támadás kiinduló pontja), az érintett helyszínek számára vonatkozó statisztikák gyűjtését, valamint az információforgalom és -elemzés elősegítését. A koordinációs munka egy része esetleg magában foglalhatja a szervezet jogi tanácsadójának, humánpolitikai vagy PR-részlegének értesítését, és az azokkal való együttműködést. Általában a rendőrséggel folytatott koordinációra is kiterjed. Ez a szolgáltatás nem tartalmazza közvetlen, helyszíni válaszintézkedések megtételét egy esetleges incidens esetén. Sebezhetőség kezelése A sebezhetőség kezelése magában foglalja a hardverek és szoftverek sebezhetőségéről szóló információk és jelentések fogadását, a sebezhetőségek jellegének, működési elvének és hatásainak elemzését, továbbá a sebezhetőségek észlelésére és megszüntetésére szolgáló válaszstratégiák kidolgozását. Mivel a különböző típusú CSIRT-csoportok eltérő módokon valósítják meg a sebezhetőségek kezelését, ezt a Oldalszám: 4

80 szolgáltatást az alábbiak szerint további kategóriákra lehet bontani az elvégzett tevékenységek és a nyújtott segítség típusa alapján: Sebezhetőség elemzése A CSIRT elvégzi a hardver és szoftver sebezhetőségek műszaki elemzését és vizsgálatát. Ez kiterjed a gyanított sebezhetőségek ellenőrzésére, valamint a hardver- és szoftversebezhetőség helyének és kihasználási módjának felderítését célzó műszaki vizsgálatra. Az elemzés kiterjedhet a forráskód hibakereső (debugger) programmal történő vizsgálatára, amelynek az a célja, hogy megállapítsa a sebezhetőség előfordulási helyét, vagy megpróbálja újra előállítani a problémát okozó állapotot a tesztrendszeren. Sebezhetőséggel kapcsolatos válaszintézkedések Ez a szolgáltatás a sebezhetőség csökkentésére vagy megszüntetésére irányuló megfelelő válaszintézkedés megállapítását foglalja magában. A szolgáltatásba javítóprogramok, hibajavítások vagy pótmegoldások kidolgozása és kutatása tartozhat bele. Ugyancsak kiterjed mások károkat csökkentő stratégiákról való értesítésére, például tanácsok vagy riasztások létrehozása és terjesztése útján. Ez a szolgáltatás magában foglalhatja a javítóprogramok, hibajavítások vagy pótmegoldások telepítésével megtett válaszintézkedéseket. Sebezhetőséggel kapcsolatos válaszintézkedések koordinálása A CSIRT értesíti a sebezhetőségről a vállalat vagy vevőkör különböző részeit, és megosztja velük a sebezhetőség javításának vagy csökkentésének módjára vonatkozó információkat. A CSIRT ellenőrzi, hogy sikeresen megvalósították-e a sebezhetőséggel kapcsolatos válaszintézkedések stratégiáját. Ebbe a szolgáltatásba beletartozhat a kiadókkal, más CSIRT-csoportokkal, műszaki szakemberekkel, a vevőkkel és a sebezhetőséget elsőként felfedező vagy jelentő személyekkel vagy csoportokkal való kommunikáció. A tevékenységek kiterjednek a sebezhetőségek és a sebezhetőségi jelentés elemzésének elvégzésére, a megfelelő dokumentumok, javítóprogramok és pótmegoldások közzétételi ütemtervének koordinálására és a különböző felek által elvégzett műszaki elemzések összegzésére. Ebbe a szolgáltatásba beletartozhat a sebezhetőségi információkat és a megfelelő válaszstratégiákat nyilvántartó nyilvános vagy magánarchívum, illetve tudástár karbantartása is. Torzulások kezelése A torzulás olyan, adott rendszeren talált fájl vagy objektum, amely esetleg szerepet játszott rendszerek vagy hálózatok szondázásában vagy megtámadásában, illetve amelyet biztonsági intézkedések meghiúsítására használnak. A torzulások közé tartoznak (a teljesség igénye nélkül): a számítógépes vírusok, a trójai programok, a férgek, a sebezhetőségeket kihasználó szkriptek és rootkitek. A torzulások kezelésébe beletartozhat a torzulásokról szóló információk és behatolási célú támadáshoz, felderítéshez vagy más illetéktelen vagy kárt okozó tevékenységhez használt torzulásokról készített másolatok fogadása. A torzulást a megérkezése után megvizsgálják. Ebbe beletartozhat a torzulás jellegének, működési elvének, verziójának és alkalmazásának elemzése, valamint az adott torzulás észlelésére, eltávolítására és az ellene való védekezésre szolgáló válaszstratégiák kidolgozása (vagy javaslattétel ilyen stratégiákra). Mivel a különböző típusú CSIRT-csoportok eltérő módokon valósítják Oldalszám: 5

81 meg a torzulások kezelését, ezt a szolgáltatást az alábbiak szerint további kategóriákra lehet bontani az elvégzett tevékenységek és a nyújtott segítség típusa alapján: Torzulások elemzése A CSIRT elvégzi a rendszerben talált esetleges torzulások műszaki vizsgálatát és elemzését. Az elvégzett elemzésekbe beletartozhat a torzulás fájltípusának és felépítésének azonosítása, az új torzulás már ismert torzulásokkal vagy ugyanazon torzulás más változataival való összevetése a hasonlóságok és az eltérések kiszűrése céljából, illetve a torzulás céljának és feladatának megismerése céljából a torzulás kódjának visszafejtése és tüzetes vizsgálata. Oldalszám: 6

82 Torzulásokkal kapcsolatos intézkedések Ebbe a szolgáltatásba beletartozik a torzulásokat észlelő és azokat a rendszerből eltávolító, valamint a torzulások telepítését megakadályozó megfelelő tevékenységek meghatározása. A szolgáltatás kiterjedhet olyan aláírások létrehozására, amelyek vírusírtó szoftverek adatbázisához, illetve IDS-hez is hozzáadhatók. Torzulásokkal kapcsolatos intézkedések koordinálása Ebbe a szolgáltatásba beletartozik az egy adott torzulásra vonatkozó elemzési eredmények és válaszstratégiák más kutatókkal, CSIRT-csoportokkal, kiadókkal és más biztonsági szakértőkkel történő megosztása és összegzése. A tevékenységek kiterjednek mások értesítésére és a különböző forrásokból származó műszaki elemzések összegzésére. A tevékenységekbe beletartozhat az ismert torzulásokat, azok hatásait és a megfelelő válaszstratégiákat leíró nyilvános vagy csak a vevőkörön belül elérhető archívum karbantartása is. Megelőző szolgáltatások A megelőző szolgáltatásoknak az a célja, hogy még az incidensek vagy események bekövetkezte vagy észlelése előtt javítsanak a vevőkör infrastruktúráján és biztonsági folyamatain. A fő cél az incidensek elkerülése, továbbá bekövetkezésük esetén a hatásuk és hatókörük csökkentése. Bejelentések Ez kiterjed a behatolási riasztásokra, sebezhetőségi figyelmeztetésekre és a biztonsági tanácsokra, de nem csak ezekre korlátozódik. Az ilyen bejelentések a közepes és hosszú távú hatással rendelkező új fejleményekről, például az újonnan felfedezett sebezhetőségekről vagy behatoláshoz használt eszközökről tájékoztatják a vevőket. A bejelentéseknek köszönhetően a vevők még azt megelőzően meg tudják védeni a rendszereiket és hálózataikat, hogy a támadók kihasználhatnák az újonnan talált problémákat. Technológia figyelés A jövőbeli fenyegetések felismerésének elősegítése érdekében a CSIRT nyomon követi és megfigyeli az új technikai fejlesztéseket, a számítógépes betörők tevékenységét és a kapcsolódó trendeket. Az áttekintett témakörök kibővíthetők úgy, hogy magukban foglalják a jogi és törvényi szabályozást, a társadalmi és politikai fenyegetettséget és az újonnan elterjedő technológiákat is. Ebbe a szolgáltatásba beletartozik a biztonsági levelezőlisták, biztonsági tematikájú webhelyek, a tudományos, műszaki, politikai és kormányzati témakörben megjelenő friss hírek és szakmai cikkek olvasása, és az ezekben közölt ismeretek közül a vevőkör rendszereinek és hálózatainak biztonsága szempontjából lényeges információk kivonatolása. Ebbe beletartozhat más, ezeken a területen meghatározó tekintélynek örvendő felekkel folytatott kommunikáció abból a célból, hogy a legpontosabb információ és értelmezés álljon rendelkezésre. Ennek a szolgáltatásnak valamilyen adott típusú, jellemzően inkább közép vagy hosszú távú biztonsági kérdésekre összpontosító bejelentés, útmutatók vagy javaslatok lehetnek az eredményei. Biztonsági ellenőrzések és felmérések Oldalszám: 7

83 Ez a szolgáltatás a szervezet vagy más vonatkozó ipari szabványok által meghatározott követelmények alapján részletes áttekintést és elemzést nyújt egy szervezet biztonsági infrastruktúrájáról. A szolgáltatásba beletartozhat a szervezetnél alkalmazott biztonsági gyakorlatok áttekintése is. Több különböző ellenőrzést és felmérést is lehet biztosítani, amelyek közé például a következők tartoznak: Infrastruktúra felülvizsgálata A hardver- és szoftverkonfigurációk, útvonalválasztók, tűzfalak, kiszolgálók és asztali eszközök manuálisan elvégzett felülvizsgálata annak ellenőrzése céljából, hogy megfelelnek-e a szervezeti és a legjobban bevált ipari gyakorlat szerinti biztonsági szabályzatoknak és szabványos konfigurációknak. A legjobb gyakorlat felülvizsgálata Elbeszélgetés az alkalmazottakkal, a rendszergazdákkal és a hálózati rendszergazdákkal annak megállapítása céljából, hogy az általuk alkalmazott biztonsági gyakorlatok megfelelnek-e a meghatározott szervezeti biztonsági szabályzatnak vagy valamilyen konkrét ipari szabványnak. Gyenge pontok keresése Sebezhetőségi és víruskeresők használata annak megállapítására, hogy mely rendszerek és hálózatok sebezhetőek. Behatolás-vizsgálat Egy helyszín biztonságának tesztelése a rendszerei és hálózatai ellen indított szándékos támadással. Ilyen típusú ellenőrzés vagy felmérés elvégzéséhez előbb meg kell szerezni a felső vezetés jóváhagyását. Előfordulhat, hogy a szervezeti szabályzat tiltja az ilyen vizsgálatokat. Ebbe a szolgáltatásba beletartozhat a tesztek és felmérések során megtámadott gyakorlatok csoportjának meghatározása, valamint a tesztelést, felmérést, ellenőrzést és felülvizsgálatot végző munkatársakkal szemben előírt jártasságok vagy tanúsítványi követelmények kidolgozása. Ez a szolgáltatás erőforrás-kihelyezés keretében ilyen típusú ellenőrzések és felmérések terén megfelelő tapasztalattal rendelkező külső partnerhez vagy felügyelt biztonsági szolgáltatásokat nyújtó szolgáltatóhoz (MSSP) is kihelyezhető. A biztonsági eszközök, alkalmazások, infrastruktúrák és szolgáltatások konfigurációjának beállítása és karbantartása Ez a szolgáltatás a CSIRT vevőköre, illetve maga a CSIRT által használt eszközök, alkalmazások és általános számítástechnikai infrastruktúrabiztonsági konfigurációjának beállítási és karbantartási módját keresi meg, és nyújt hozzá megfelelő útmutatást. Az útmutatás biztosítása mellett a CSIRT elvégezheti a biztonsági eszközök és szolgáltatások (pl. az IDS) konfigurációjának frissítéseit, gyenge pontokat kereshet a hálózaton, megfigyelheti a rendszereket, szűrőket, burkolómodulokat (wrappers), tűzfalakat, virtuális magánhálózatokat (VPN) és a hitelesítési mechanizmusokat. Fő feladata részeként a CSIRT akár a biztosíthatja is ezeket a szolgáltatásokat. A CSIRT a kiszolgálók, asztali gépek, laptopok, digitális személyi asszisztensek (PDA-k) és más vezeték nélküli eszközök biztonsági útmutatók szerinti konfigurálását is elvégezheti. Ebbe a szolgáltatásba beletartozik, hogy minden olyan, konfigurációval, illetve az Oldalszám: 8

84 eszközök és alkalmazások használatával kapcsolatos kérdést és problémát a vezetőség elé terjesztenek, amelyről a CSIRT úgy véli, hogy sebezhetővé teheti a rendszert a támadásokkal szemben. Biztonsági eszközök fejlesztése Ez a szolgáltatás magában foglalja minden olyan új, vevőkör-specifikus eszköz fejlesztését, amelyre a vevőknek vagy magának a CSIRT-csoportnak szüksége van, illetve igényt tart. Ebbe beletartozhat például a vevőkör által használt testreszabott szoftverek biztonsági javítóprogramjainak, illetve a megtámadott gazdagépek rendszereinek visszaállításához használható biztonsági szoftverdisztribúcióknak a fejlesztése. A szolgáltatás olyan eszközök és szkriptek fejlesztésére is kiterjedhet, amelyek bővítik a meglévő biztonsági eszközök funkcióit. Ilyenek lehetnek például a sebezhetőségeket megszüntető vagy a hálózat gyenge pontjait kereső eszközt kiegészítő beépülő modulok vagy az olyan szkriptek, amelyek megkönnyítik a titkosítási technológiák, illetve az automatikus javítóprogram-továbbító mechanizmusok használatát. Behatolás-érzékelési szolgáltatások Az ezt a szolgáltatást nyújtó CSIRT-csoportok felülvizsgálják és elemzik a meglévő IDSnaplófájlokat, és amennyiben olyan eseményt találnak bennük, amely megfelel a megadott küszöbértékeknek, akkor az előre meghatározott szolgáltatási szint szerződésnek vagy felterjesztési stratégiának megfelelően vagy válaszintézkedést kezdeményeznek, vagy pedig megfelelő riasztást küldenek ki. A behatolás-érzékelés és a kapcsolódó biztonsági naplók elemzése óriási feladat lehet, mivel nemcsak annak meghatározására terjed ki, hogy a környezeten belül hol helyezzék el az érzékelőket, hanem az óriási mennyiségű adat összegyűjtésére és elemzésére is. Sok esetben speciális eszközökre és szakértelemre van szükség az információk összesítéséhez és értelmezéséhez, a téves riasztások, támadások és hálózati események beazonosításához, és az ilyen események kiküszöbölésére vagy minimalizálására szolgáló stratégiák megvalósításához. Néhány szervezet inkább más, ezen a területen nagyobb szakértelemmel rendelkező szervezethez, például felügyelt biztonsági szolgáltatásokat nyújtó szolgáltatókhoz szervezi ki ezt a tevékenységet. Biztonsággal kapcsolatos információk terjesztése Ez a szolgáltatás hasznos információkat tartalmazó, átfogó és egyszerűen kereshető információgyűjteményt biztosít a vevőknek, amely elősegíti a biztonság javítását. Ezen információk között lehetnek: a CSIRT-csoportnak küldött jelentésekhez tartozó útmutatók és kapcsolattartási információk, riasztásokat, figyelmeztetéseket és egyéb bejelentéseket tartalmazó archívumok, a jelenlegi legjobb gyakorlatok dokumentációi, számítógép-biztonságra vonatkozó általános útmutatás, szabályzatok, eljárások és ellenőrzőlisták, javítóprogramok fejlesztésére és szétküldésére vonatkozó információk, a kiadók webhelyére mutató hivatkozások, az incidensjelentések aktuális statisztikái és tendenciái, az általános biztonsági gyakorlatok javítását szolgáló egyéb információk. Oldalszám: 9

85 Ezeket az információkat, amelyek között külső forrásból, például más CSIRT-csoporttól, kiadóktól és biztonsági szakértőktől származó információk is szerepelhetnek, a CSIRT vagy a szervezet valamelyik másik területe (IT, humánpolitika vagy PR) is összeállíthatja és közzéteheti. Biztonsági minőségirányítási szolgáltatások Az ebbe a kategóriába tartozó szolgáltatások nem kizárólag az incidenskezeléshez vagy konkrétan a CSIRT-csoportokhoz kapcsolódnak. Ezek jól ismert, bevált szolgáltatások, amelyeknek az a feladata, hogy növeljék a szervezet általános biztonságát. A fent leírt, válaszintézkedéseket biztosító vagy megelőző szolgáltatások nyújtása során szerzett tapasztalatok által kínált helyzeti előnyt kihasználva a CSIRT olyan egyedülálló nézőpontokkal egészítheti ki ezeket a minőségirányítási szolgáltatásokat, amelyek másképpen nem lennének biztosíthatóak. Ezeknek a szolgáltatásoknak az a célja, hogy az incidensekre, sebezhetőségekre és támadásokra adott válaszintézkedések során szerzett ismereteken alapuló visszajelzéseket és tanulságokat beépítsék a gyakorlatba. Ha a biztonsági minőségirányítási folyamat részeként ilyen tapasztalatokat visznek be a már működő hagyományos szolgáltatásokba (leírásukat lásd alább), az javíthatja a szervezeten belüli hosszú távú biztonsági erőfeszítések hatékonyságát. A szervezeti struktúráktól és felelősségi köröktől függően a CSIRT nyújthatja ezeket a szolgáltatásokat, illetve részt vehet egy nagyobb léptékű szervezeti csoportmunkában. A következő leírások azt magyarázzák el, hogy a CSIRT szakértelme milyen előnyöket biztosít e biztonsági minőségirányítási szolgáltatások szempontjából. Kockázatelemzés A CSIRT-csoportok hozzáadott értéket biztosíthatnak a kockázatelemzéshez és - értékelésekhez. Ez javíthatja a szervezetnek a reális fenyegetések felmerésére, az információs vagyon kockázataira vonatkozó reális kvalitatív és kvantitatív becslések elkészítésére, valamint a védelmi és válaszstratégiák értékelésére vonatkozó képességét. Az ilyen szolgáltatást nyújtó CSIRT-csoportok vagy maguk végzik el az új rendszerek és üzleti folyamatok információbiztonsági kockázatértékelését, vagy segítséget nyújtanak hozzá, illetve kiértékelik a vevők vagyonának és rendszereinek fenyegetettségét és az azok ellen irányuló támadásokat. Az üzletmenet-folytonosság és katasztrófa utáni visszaállítás tervezése Az incidensek és a biztonsági események múltbeli előfordulása és a vonatkozó előrejelzések alapján kijelenthetjük, hogy egyre több incidens kapcsán kell számolni az üzleti tevékenységek súlyos romlásának lehetőségével. Ezért a tervezés során, az ilyen incidensekre adott legjobb válaszintézkedések meghatározásánál célszerű figyelembe venni a CSIRT tapasztalatait és javaslatait az üzleti működés folyamatosságának biztosítása érdekében. Az ilyen szolgáltatást nyújtó CSIRT-csoportokat bevonják az üzletmenet-folytonossági és katasztrófa utáni visszaállítási tervek számítógép-biztonsági veszélyekhez és támadásokhoz kapcsolódó aspektusainak az elkészítésébe. Biztonsági tanácsadás A CSIRT-csoportok arra is felkérhetők, hogy adjanak tanácsot és útmutatatást a vevők üzleti tevékenységének megvalósításához rendelkezésre álló legjobb biztonsági gyakorlatokra vonatkozóan. Az ilyen szolgáltatást nyújtó CSIRT-csoportokat bevonják a vásárlással és a telepítéssel kapcsolatos javaslatok elkészítésébe és a vonatkozó Oldalszám: 10

86 követelmények meghatározásába, valamint az új rendszerek, hálózati eszközök, szoftveralkalmazások vagy vállalatszintű folyamatok biztonságossá tételébe. Ez a szolgáltatás a szervezeti és a vevőkörre vonatkozó biztonsági szabályzatok kidolgozásához nyújtott útmutatásra és segítségnyújtásra is kiterjed. Továbbá beletartozhatnak a törvénykezési és egyéb kormányzati testületek előtt tett tanúvallomások és a számukra biztosítandó szakvélemények is. A tudatosság növelése A CSIRT-csoportok megtalálhatják, hogy a vevőknek hol van szükségük több információra és útmutatásra ahhoz, hogy jobban tudjanak alkalmazkodni az elfogadott biztonsági gyakorlatokhoz és szervezeti biztonsági szabályzatokhoz. A vevőkör általános biztonsági tudatosságának növelése nemcsak a biztonsági problémák megértését javítja, de abban is segít nekik, hogy biztonságosabban végezzék a napi tevékenységeiket. Ez csökkentheti a sikeres támadások számát, és növelheti annak valószínűségét, hogy a vevők észlelik és bejelentik a támadásokat, csökkentve ezzel a visszaállításhoz szükséges időt és kiküszöbölve, illetve minimalizálva a károkat. Az ilyen szolgáltatást nyújtó CSIRT-csoportok keresik annak lehetőségét, hogy a biztonsági tudatosságot cikkekkel, plakátokkal, hírlevelekkel, webhelyekkel és egyéb olyan információs forrásokon keresztül növeljék, amelyek elmagyarázzák a biztonság legjobban bevált gyakorlatait, és tanáccsal szolgálnak az elvégzendő óvintézkedésekre vonatkozóan. A tevékenységek kiterjedhetnek arra is, hogy a vevőket rávegyék a folyamatban lévő biztonsági eljárásokról és a szervezeti rendszerek terén jelentkező potenciális veszélyekről szóló megbeszéléseken és szemináriumokon való részvételre. Oktatás/képzés Ebbe a szolgáltatásba a vevők számára IT-biztonsági kérdésekről tartott szemináriumok, műhelymunkák, tanfolyamok és konzultációk tartoznak. A témakörök kiterjedhetnek az incidens-jelentésekre vonatkozó útmutatókra, a megfelelő válaszmódszerekre, az incidensekre adott válaszintézkedések eszközeire, az incidensek megelőzésének módszereire és minden egyéb olyan információra, amely a számítógép-biztonsági incidensek elleni védelemhez, az incidensek észleléséhez, jelentéséhez, illetve a bekövetkeztük esetén a rájuk adott válaszintézkedésekhez szükségesek. Termék kiértékelése vagy tanúsítása Ennél a szolgáltatásnál előfordulhat, hogy a termékek biztonságosságának, valamint a CSIRT vagy a szervezet elfogadott biztonsági gyakorlatának való megfelelésének biztosítása érdekében a CSIRT-csoportnak el kell végeznie az eszközök, alkalmazások illetve egyéb szolgáltatások termékértékelését. A felülvizsgálatra kerülő eszközök és alkalmazások nyílt forráskódúak és kereskedelmi termékek is lehetnek. Ez a szolgáltatás értékelésként vagy tanúsítási program keretében is nyújtható, a szervezet, illetve a CSIRT által alkalmazott szabványoktól függően. Oldalszám: 11

87 A.3 Példák Képzeletbeli CSIRT 0. lépés A CSIRT lényegének megértése: A példaként szolgáló CSIRT-csoportnak egy 200 embert foglalkoztató közepes méretű intézményt kell kiszolgálnia. Az intézmény saját informatikai részleggel és az adott országon belül két további fiókirodával rendelkezik. Az információtechnológia kulcsszerepet tölt be a vállalatnál, mivel ezt használják fel a belső kommunikáció, az adathálózat, valamint a hét 7 napján napi 24 órában (24x7) működő elektronikus üzlet (e-üzlet) céljára. Az intézménynek saját hálózata, valamint két különböző internetszolgáltató által biztosított redundáns internet-kapcsolata van lépés: Kezdő fázis A kezdő fázisban belső CSIRT-csoportként tervezzük meg az új CSIRT-csoportot, amely az anyavállalatnak, a helyi informatikai részlegnek és a munkatársaknak nyújt szolgáltatásokat. A csoport egyben támogatja és koordinálja az információbiztonsághoz kapcsolódó incidensek fiókirodák közötti kezelését lépés: A megfelelő szolgáltatások kiválasztása A kezdő fázisban úgy döntenek, hogy az új CSIRT elsősorban néhány, az alkalmazottakat érintő alapvető szolgáltatás nyújtására fogja helyezni a hangsúlyt. Úgy határoznak, hogy a tesztidőszakot követően fontolóra lehet venni a szolgáltatási portfolió kibővítését, és esetleg ki lehet azt egészíteni Biztonságkezelési szolgáltatásokkal. Ezt a döntést a tesztelésbe bevont vevőktől kapott visszajelzés alapján, a minőségbiztosítási részleggel szorosan együttműködve hozzák meg lépés: Elemzés készítése a vevőkörről és a megfelelő kommunikációs csatornákról A vezetőség és a vevőkör néhány kulcspozícióban lévő tagjával lefolytatott ötletbörze elegendő adatot nyújtott a SWOT-analízis elkészítéséhez. Ennek alapján arra következtettek, hogy az alábbi alapvető szolgáltatásokra van szükség: Riasztások és figyelmeztetések Incidenskezelés (elemzés, válaszintézkedések támogatása és koordinálása) Bejelentések Biztosítani kell, hogy az információ terjesztése jól szervezett formában történjen, és az így a vevőkör lehető legnagyobb részéhez eljusson. Ezért úgy döntöttek, hogy a riasztásokat, figyelmeztetéseket és a biztonsági tanácsok formájában megtett bejelentéseket egy külön erre a célra létrehozott webhelyen teszik közzé, és egy levelezőlistán keresztül fogják terjeszteni. A CSIRT lehetővé teszi az incidensekről szóló jelentések ben, telefonon és faxon történő beküldését is. A következő lépésre egy egységesített webes űrlap bevezetését is tervbe vették. Oldalszám: 12

88 4. lépés: Küldetésnyilatkozat A képzeletbeli CSIRT vezetősége a következő küldetésnyilatkozatot fogalmazta meg: A képzeletbeli CSIRT információt és segítséget nyújt anyavállalatának munkatársai részére azzal a céllal, hogy csökkentse a számítógépes biztonsági incidensek kockázatait, valamint ilyen incidensek előfordulása esetén segítsen a válaszintézkedések végrehajtásában. A képzeletbeli CSIRT ily módon egyértelműsíti, hogy belső CSIRT-csoportként jött létre, és alapvető feladata az informatikai rendszerek biztonságával kapcsolatos kérdések kezelése lépés: Az üzleti terv meghatározása Pénzügyi modell Mivel a vállalat a hét 7 napján napi 24 órában nyújtott folyamatos e-üzlettel foglalkozik, és az információtechnológiai részlege is ilyen munkarend szerint működik, úgy döntöttek, hogy munkaidőben teljes körű, munkaidőn kívül pedig telefonos készenléti szolgáltatást biztosítanak. A vevőkör részére ingyenesen nyújtják a szolgáltatásokat, de a teszt- és az értékelési fázisban felmérik a harmadik fél ügyfelek számára nyújtott szolgáltatások lehetőségét is. Bevételi modell A kezdő és a tesztfázis alatt a CSIRT-csoportot az anyavállalat fogja finanszírozni. A teszt- és az értékelési fázis során további finanszírozási lehetőségekről, többek között a szolgáltatások harmadik fél ügyfelek részére történő értékesítéséről, is fognak tárgyalni. Szervezeti modell Az anyaszervezet kisvállalat, ezért a beágyazott modellt választották. Munkaidőben egy három főből álló személyzet fogja biztosítani az alapvető szolgáltatásokat (biztonsági tanácsok továbbítása és incidenskezelés/koordináció). A vállalat IT-részlegén már dolgoznak megfelelő jártassággal rendelkező szakemberek. Megállapodnak a részleggel abban, hogy szükség esetén az új CSIRT eseti alapon támogatást kérhet tőlük. Ugyanígy igénybe vehetik a 2. szintű telefonos készenléti szolgálatot adó technikusaik segítségét is. Az alap CSIRT-csoportnak négy teljes munkaidős és öt kiegészítő tagja lesz. Ezek egyike váltott műszakban is rendelkezésre fog állni. Munkatársak A CSIRT-csoport vezetője biztonsági területen, valamint 1. és 2. szintű támogatásban szerzett tapasztalatokkal rendelkezik, és dolgozott már a rugalmas válságkezelés területén. A csoport három másik tagja biztonsági szakember. A CSIRT-csoport ITrészleg által küldött részidős tagjai a vállalati infrastruktúra különböző szakterületeinek specialistái. Oldalszám: 13

89 5. lépés: Az iroda és az információbiztonsági szabályzat használata Az iroda felszereltsége és helye Mivel az anyavállalat már megvalósította a hatékony fizikai biztonságot, az új CSIRT igényei megfelelően ki vannak elégítve ebből a szempontból. Rendelkezésre áll egy ún. hadműveleti terem, amelyből vészhelyzet esetén koordinálni lehet az intézkedések végrehajtását. A titkosítási anyagok és érzékeny információkat tartalmazó dokumentumok számára vásároltak egy széfet. Kiépítettek egy külön telefonvonalat és egy házi központot, hogy megkönnyítsék a forródrótos szolgálat munkaidőben történő elérését, és hogy munkaidőn túl ugyanezen a számon legyen hívható a készenléti mobiltelefon. A meglévő berendezések és a vállalati webhely is használható a CSIRT-vonatkozású információk bejelentésére. Telepítettek és karbantartanak egy levelezőlistát, amelyen belül elkülönítettek egy részt a csoport tagjai közötti és más csoportokkal folytatott kommunikáció céljára. A munkatársak elérhetőségi adatainak elektronikus változatát egy adatbázisban tárolják, egy kinyomtatott példányát pedig a széfben őrzik. Szabályozás Mivel a CSIRT egy meglévő információbiztonsági szabályzatokkal rendelkező vállalatba van beágyazva, a CSIRT-csoportra vonatkozó megfelelő szabályzatokat a vállalat jogi tanácsadójának segítségével fektették le lépés: Az együttműködés keresése Az ENISA nyilvántartása segítségével gyorsan találtak néhány ugyanabban az országban működő CSIRT-csoportot, amelyekkel kapcsolatba is léptek. Az egyikkel megállapodtak abban, hogy az újonnan felvett csoportvezető helyszíni látogatást tesz náluk. Ennek során a csoportvezető megismerkedett az országban folyó CSIRTtevékenységekkel és részt vett egy megbeszélésen. A megbeszélés több mint hasznosnak bizonyult, mivel sikerült betekintést nyerni különböző munkamódszerekbe és támogatást kapni néhány további csoporttól lépés: Az üzleti terv továbbfejlesztése Úgy döntöttek, hogy tény- és számadatokat gyűjtenek a vállalat működésének korábbi időszakából. Ez rendkívül hasznos lépés az IT-biztonsági helyzet statisztikai alapon történő áttekintéséhez. Az adatgyűjtésnek a CSIRT létrejötte és működésének elindulása után is folytatódnia kell a statisztikák frissítése érdekében. Felvették a kapcsolatot más nemzeti CSIRT-csoportokkal, és elbeszélgettek velük az ő üzleti terveikről. Ezek a csoportok azzal támogatták őket, hogy összeállítottak néhány diát az információtechnológiai biztonsági incidensek közelmúltbeli fejleményeiről, és az incidensek költségeiről. A képzeletbeli CSIRT-csoport esetében nem kellett külön meggyőzni a vezetőséget az információtechnológiai feladatok fontosságáról, így nem volt nehéz megkapni az engedélyüket az első lépés megtételéhez. Elkészítették az üzleti tervet és a Oldalszám: 14

90 projekttervet, amely az induló költségekre és a működési költségekre vonatkozó becslést is tartalmazta lépés: A folyamatok menetének, valamint az üzemeltetési és a technikai eljárásoknak a kialakítása A képzeletbeli CSIRT a következő alapvető CSIRT-szolgáltatások nyújtására koncentrál: Riasztások és figyelmeztetések Bejelentések Incidenskezelés A csoport jól működő és mindegyik csoporttag számára könnyen érthető eljárásokat dolgozott ki. A képzeletbeli CSIRT egy jogi szakembert is felvett a kötelezettségekkel és az információbiztonsági szabályzattal összefüggő ügyek kezelésére. A csoport beszerzett néhány hasznos eszközt, és más CSIRT-csoportokkal folytatott megbeszélések során fontos információkat szereztek az üzemeltetési kérdésekkel kapcsolatban. A biztonsági tanácsokhoz és az incidensek bejelentéséhez elkészítettek egy rögzített tartalmú sablont. A csoport RTIR-rendszert használ az incidensek kezeléséhez lépés: A munkatársak kiképzése A képzeletbeli CSIRT úgy dönt, hogy összes műszaki munkatársát elküldi a legközelebbi elérhető TRANSITS-tanfolyamokra. A csoportvezető ezenkívül elvégzi a CERT/CC Managing a CSIRT (CSIRT irányítása) tanfolyamát is lépés: Gyakorlás Működésének első heteiben a képzeletbeli CSIRT számos kitalált (más CSIRTcsoporttól mintaként kapott) esetet használt gyakorlási célokra. Ezenkívül kiadtak néhány, hardverforgalmazók és szoftverkiadók által terjesztett valódi sebezhetőségi információn alapuló, de saját vevőkörük igényeihez igazított biztonsági tanácsot. Oldalszám: 15

91 A.4 CSIRT tanfolyamok mintaanyagai TRANSITS (A Terena engedélyével) Áttekintés: A tanfolyam felépítése Oldalszám: 16

92 A Műszaki modulból: Egy botnet (robothálózat) leírása A Műszaki modulból: Egy rootkit (számítógépes betörő által hátrahagyott, a visszatérését megkönnyítő programkészlet) alapfelépítése Oldalszám: 17

93 A Szervezeti modulból: Belső vagy külső: melyik a nagyobb veszély? Az Üzemeltetési nyilvántartásból: Request Tracker for Incident Response (RTIR) Oldalszám: 18

94 CSIRT-csoportok létrehozása (A CERT/CC engedélyével) Az ENISA köszönetét nyilvánítja ki a CERT-program keretében működő CSIRT Fejlesztési Csoportnak azért, hogy lehetővé tették tanfolyami anyaguk tartalmi felhasználását. A CERT/CC-tanfolyam anyagából: A CSIRT fejlesztésének fázisai Oldalszám: 19

95 A CERT/CC-tanfolyam anyagából: Az incidenskezelési terület legjobb gyakorlata A CERT/CC-tanfolyam anyagából: A CSIRT-csoportok létrehozása során követendő lépések Oldalszám: 20

96 A CERT/CC-tanfolyam anyagából: A CSIRT által nyújtható szolgáltatások A CERT/CC-tanfolyam anyagából: Az incidenskezelési munkafolyamat Oldalszám: 21

97 A CERT/CC-tanfolyam anyagából: Incidensre adott válaszintézkedés A CERT/CC-tanfolyam anyagából: Hogyan fog felépülni a CSIRT? Oldalszám: 22